2342061

Keine Passwörter im Klartext: macOS 10.13.4 schließt Lücke

25.04.2018 | 11:13 Uhr | Bastian Gruber

Apple bringt mit dem letzten Update für macOS nicht nur neue Funktionen, sondern behebt auch wie gewohnt zahlreiche, sicherheitsrelevante Lücken. Darunter etwa das Speichern von Passwörtern im Klartext.

Update vom 25. April 2015:

Apple hat in der Nacht ein Updates für macOS 10.13.4 veröffentlicht, um zwei Sicherheitslücken zu schließen. Diese betrafen eine Speicher-Korruption im Crash-Reporter und Spoofing in LinkPresentation. Das Sicherheitsupdate für macOS 10.13.4 lässt sich nur installieren, wenn zuvor das System auf die entsprechende Version aktualisiert wurde. Das Security Update 2018-001 über den Mac App Store.

Stand vom 9. April 2018:

Unzureichende Lösung

Wie ein Entwickler herausfand , sind Passwörter, die zur Verschlüsselung von APFS Festplatten hergenommen wurden, immer noch in einer Datei namens install.log auffindbar. Apple löste zwar das Problem für zukünftige Verschlüsselungen, nicht jedoch für solche, die bereits stattfanden. Um Abhilfe zu schaffen, sollten Sie die Datei install.log und all ihre Kopien auf dem Mac ausfindig machen und anschließend löschen.

APFS

Das neue Dateisystem hatte noch nicht lange Zeit sich in freier Wildbahn testen zu lassen. Die Auswirkungen sehen wir in den letzten Sicherheitsupdates. Auch in diesem behebt Apple wieder zahlreiche Schwachstellen, die das eigene Dateisystem betreffen. So etwa konnte es passieren, dass Passwörter zur Verschlüsselung abgeschnitten wurden. Die gespeicherten Passwörter stimmten somit nicht mit dem richtigen überein und Nutzer mussten via der Sicherheitsschlüssel ein neues erstellen. Dieser Fehler hatte auch Auswirkungen auf das Festplattenmanagement, welches beim Partitionieren auftrat.

Zahlreiche Schwachstellen behoben

Dass sich Anwendungen unaufgefordert und heimlich volle Zugangsberechtigungen beschaffen, ist nichts neues. Apple behebt auch hier wieder zahlreiche Einfallstore. So etwa konnten schädliche Anwendungen, die in der iCloud Drive gespeichert wurden, Zugriffsrechte auf dem Mac beschaffen. Auch Mail wurde verbessert. Hier hatten Angreifer auf den Inhalt von S/MIME verschlüsselten E-Mails Zugriff. Die Notizen-Anwendung wurde auch von einer Lücke heimgesucht, mit der Anwendungen auf andere Notizen Zugriff hatten.

Viele Fehler durch Eingabevalidierung

Entweder werden die Angreifer schlauer, oder Apple versagt immer mehr beim bloßen Validieren von Eingaben. Zahlreiche, im Sicherheitsdokument aufgeführte, Lücken wurden durch eine verbesserte Validierung der Eingaben behoben. So etwa Links in PDFs, Anwendungen die sich in den sogenannten LaunchServices schreiben und auch bei Kernelerweiterungen. Der Schritt Apples, sich bei der nächsten Version (10.14) vor allem auf die Grundlagen zu konzentrieren und das System sicherer und perfomanter zu machen, ergibt immer mehr Sinn.

Installationsprozess

Wie immer empfehlen wir Ihren Mac sofort auf die letzte Version zu aktualisieren, beziehungsweise die Sicherheitsupdates aufzuspielen. Dies geschieht via dem Mac App Store oder via direktem Download Link . Nutzer von Sierra f inden hier die letzten Sicherheitsaktualisierungen zum Herunterladen. Und auch für El Capitan hat Apple zahlreiche Fehler-Behebungen parat .

Macwelt Marktplatz

2342061