Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ben Schwan 42

Schlüsselbund-Passwörter-Klau auf dem Mac: Sierra und El Capitan bleiben anfällig

Schlüsselbund-Passwörter-Klau auf dem Mac: Sierra und El Capitan bleiben anfällig

Demo-App, die den Keychain-Bug ausnutzt.

Bild: Patrick Wardle

Apple hat einen schwerwiegenden Fehler in der sogenannten Keychain nur in macOS High Sierra behoben. Der Entdecker will zunächst keinen Exploit publizieren – doch er wird kommen.

Während Apple mit einem außer der Reihe erschienenen "Supplemental Update" ein gravierendes Sicherheitsproblem in seinem jüngsten Mac-Betriebssystem behoben hat, bleiben ältere Versionen ohne Schutz. Das bestätigte der Entdecker der Lücke, der amerikanische Sicherheitsexperte Patrick Wardle, gegenüber Mac & i. "Unglücklicherweise geht Apple beim Beheben von Fehlern häufig so vor – die jüngste Version des Betriebssystems ist die einzige Version, die einen Patch erhält. Ich bin mir nicht sicher, ob Apple beabsichtigt, ältere Versionen später zu patchen."

Schlüsselbund ließ sich mit Passwörtern auslesen

Eine Schwachstelle, die in macOS High Sierra 10.13 sowie mindestens macOS Sierra und El Capitan steckt, macht es beliebigen Apps möglich, den kompletten Schlüsselbund des Nutzers heimlich auszulesen – mitsamt allen dort gespeicherten Passwörtern im Klartext. Viele Anwendungen und Apples Systemprogramme sichern darin wichtige Angaben inklusive der Apple-ID-Informationen.

Wardle lobte Apple dafür, dass der Konzern so schnell ein ergänzendes Update für macOS High Sierra herausbrachte. "Ich denke, länger zu warten, um das dann in einem größeren Sicherheitsupdate zu kombinieren, wäre ein Fehler gewesen." Das "Supplemental Update" hatte auch noch eine peinliche Lücke in der Verschlüsselung von APFS-Volumes gestopft. Dabei wurden Passwörter plötzlich im Klartext angezeigt.

Dass Apple das Update zunächst nur für High Sierra herausbrachte, liegt Wardle zufolge auch daran, dass Apple die Leute dazu bringen will, die jeweils neueste macOS-Version zu verwenden. "In der Realität machen das aber viele Leute nicht, was sie angreifbar für trivial ausnutzbare Fehler macht." Das sei zwar nicht grundsätzlich Apples Schuld – die Nutzer sollten stets aus Sicherheitsgründen die jüngste Version nutzen – "doch in einer idealen Welt würde Apple auch ältere Versionen seines Betriebssystem absichern – zumindest einige Versionen zurück."

Apple patcht ältere Systeme nur inkonsistent

Tatsächlich bringt der Konzern regelmäßig auch sicherheitsrelevante Patches für ältere macOS-Varianten heraus – allerdings leider nicht konsistent. So kam etwa zum Erscheinen von macOS High Sierra kein zusätzliches Patchpaket für Sierra und El Capitan heraus. Im Beipackzettel zu den sicherheitsrelevanten Fixes hieß es lapidar, dass die Fehlerbehebungen nur für High Sierra bereitstünden.

Wardle selbst will zunächst keinen Exploit für die Schlüsselbundlücke veröffentlichen. Aktuell versucht er, mit Apple in Kontakt zu treten, um zu erfahren, ob Sierra und El Capitan vielleicht doch noch ein Update erhalten. "Vielleicht hauen sie die Fixes ja in ein 'Servicepack' namens 10.12.7?" Er wolle Nutzern zudem mehr Zeit lassen, ihr System auf High Sierra umzustellen.

Ganz unproblematisch ist das nicht: Es gibt nach wie vor inkompatible Apps und andere Probleme. Nähere Details und Proof-of-Concept-Code zur Schlüsselbundlücke werde er aber höchstwahrscheinlich "später" veröffentlichen, sagte Wardle. "Das ist ja das Spaßige an der Sache." (bsc)

42 Kommentare

Themen:

Anzeige
  1. macOS High Sierra: Apple geht gravierende Probleme mit "ergänzendem Update" an

    High Sierra

    Der Mac-Hersteller hat ein erstes "ergänzendes Update" für macOS 10.13 freigegeben, das Probleme mit Dritt-Apps ausräumt und zwei Schwachstellen schließt: Eine ermöglicht den Klau aller Passwörter, die andere verrät Passwörter als Merkhilfe.

  2. Schwachstelle in macOS bis High Sierra: Apps können alle Schlüsselbund-Passwörter klauen

    Schwachstelle in macOS bis High Sierra: Apps können alle Schlüsselbund-Passwörter klauen

    Schad-Software kann den kompletten Inhalt des macOS-Schlüsselbundes extrahieren, darunter die Passwörter im Klartext, wie ein Sicherheitsforscher demonstriert. Die schwere Lücke lasse selbst unsignierte Apps an die sensiblen Nutzerdaten.

  3. High-Sierra-Passwortlücke: Entwickler vermutet Copy+Paste-Fehler

    High-Sierra-Passwortlücke: Entwickler vermutet Copy+Paste-Fehler

    Ein gravierendes Sicherheitsleck in seiner APFS-Verschlüsselungsroutine musste Apple mit einem Zusatz-Update schließen. Nun hat ein Developer sich den Bug etwas näher angesehen.

  4. Apple tilgt macOS Sierra aus dem Mac App Store

    macOS Sierra

    Das Mac-Betriebssystem lässt sich ab Version 10.12 nicht länger im Gekauft-Reiter des Mac App Store erneut beziehen. Ein Downgrade ist deshalb nur noch über einen Umweg möglich.

  1. APFS – Apple File System: Dateisystem für iPhone, iPad und Mac

    APFS Apple File System

    Die Tage von HFS+ sind gezählt, der Nachfolger APFS steht bereits in den Startlöchern: iOS 10.3 bringt das Apple-Dateisystem auf iPhone und iPad. Es soll letztlich alle Geräte abdecken – von der Apple Watch bis zum Mac Pro – und bildet die Grundlage für neue Funktionen.

  2. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. Vorstellung: Audi A7

    Audi A7

    Audi macht mit dem zweiten A7 keinen Neuanfang im Design. Doch technisch tut sich mehr als optisch. Bis zu 39 Assistenten sollen dem Fahrer vieles abnehmen. Auf Innovationen im Antriebsbereich muss der Kunde aber noch warten

  2. Der "Baby-Hitler" schlägt zurück!

    Läutet der absurde Kult um Österreichs blutjungen starken Mann das Ende der Satire ein?

  3. Meinungsfreiheit: Raspi als anonymer Webserver

    Meinungsfreiheit: Raspi als anonymer Webserver

    Das Internet ist grenzenlos, die vom Grundgesetz garantierte Meinungsfreiheit hingegen gilt nur in Deutschland. Kritiker müssen mit Repressalien rechnen – selbst innerhalb Europas. Mit einem Raspi Zero W können Sie Inhalte anonym veröffentlichen.

  4. Activision-Patent für Mikrotransaktionen: Matchmaking benachteiligt Spieler ohne Ingame-Käufe

    Activision-Patent für Mikrotransaktionen: Matchmaking benachteiligt Spieler ohne Ingame-Käufe

    Aus einem Patent von Activision geht hervor, dass Matchmaking künftig Spieler ohne kostenpflichtige Ingame-Gegenstände benachteiligen könnte. Sie werden in Arenen mit stärkeren Spielern geworfen, die bereits Zusatzwaffen besitzen.

Anzeige