Sicherheitslücke in OS X 10.7.3 betrifft altes File Vault

Apple hat beim letzten Systemupdate anscheinend Debugging-Code vergessen, was die Lücke öffnet. Betroffen sind nur Macs, auf welchen die alte Filevault-Verschlüsselung des Benutzerordners noch aktiviert ist, die Verschlüsselung der gesamten Festplatte mit Filevualt 2 ist von dem Problem nicht betroffen, berichten unsere Kollegen der Macworld. Es sei zudem unwahrscheinlich, dass eine Malware die Passworte auslesen kann.

Die Lücke wurde bereits im Februar entdeckt und in Apples Foren besprochen, die Diskussion blieb jedoch weitgehend ignoriert. Neuen Schwung hat die Debatte über den Filevault-Fehler jedoch am Wochenende bekommen, als der Mac-User David Emery sie in der Mailingliste Cryptome vorstellte. Auslesen kann man die Passworte mit physischem Zugang zu einem mit Administratorrechten gebooteten Mac - für das Lesen der Logfiles, die außerhalb des verschlüsselten Bereichs liegen, benötigt man kein Administratorpasswort. Alternativ lassen sich Lion-Rechner im Target-Disk-Modus starten, die entsprechenden Dateien sind dann von einem anderen Rechner aus einsehbar, auch im Lion Recovery Modus kommt man via Terminal an das Filevault-Passwort im Klartext. Apple hat zu dem Fall bisher keine Stellung genommen.

Das Risiko ist relativ klein, wer niemals Filevault vor Lion nutzte oder einen mit Lion vorinstallierten Rechner kaufte, muss sich keine Sorgen machen. Ebenso wenig besteht Gefahr, hat man seinen Mac noch nicht auf OS X 10.7.3 aktualisiert. Der jüngste Vorfall mit der Malware Flashback lässt jedoch befürchten, dass künftige Schadsoftware die Schwachstelle ausnutzt und nach Debugging-Code in den secure.log-Dateien und an anderen Stellen des Systems sucht.

Bis Apple einen Patch für das Problem liefert - oder Lion auf Version 10.7.4 aktualisiert - gibt es mehrere Lösungsansätze. So könnte man etwa nach jedem Neustart das Filevault-Passwort ändern, dieses wird nicht geloggt, so dass ein Angreifer mit physischem Zugang zum System in der Log-Datei nicht fündig wird. Wer seinen Mac alleine nutzt, kann zudem auf Filevault 2 umsteigen und die gesamte Festplatte verschlüsseln, damit ist der Zugang aber zu allen Nutzerkonten gesperrt.