Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ben Schwan 42

Schlüsselbund-Passwörter-Klau auf dem Mac: Sierra und El Capitan bleiben anfällig

Schlüsselbund-Passwörter-Klau auf dem Mac: Sierra und El Capitan bleiben anfällig

Demo-App, die den Keychain-Bug ausnutzt.

Bild: Patrick Wardle

Apple hat einen schwerwiegenden Fehler in der sogenannten Keychain nur in macOS High Sierra behoben. Der Entdecker will zunächst keinen Exploit publizieren – doch er wird kommen.

Während Apple mit einem außer der Reihe erschienenen "Supplemental Update" ein gravierendes Sicherheitsproblem in seinem jüngsten Mac-Betriebssystem behoben hat, bleiben ältere Versionen ohne Schutz. Das bestätigte der Entdecker der Lücke, der amerikanische Sicherheitsexperte Patrick Wardle, gegenüber Mac & i. "Unglücklicherweise geht Apple beim Beheben von Fehlern häufig so vor – die jüngste Version des Betriebssystems ist die einzige Version, die einen Patch erhält. Ich bin mir nicht sicher, ob Apple beabsichtigt, ältere Versionen später zu patchen."

Anzeige

Eine Schwachstelle, die in macOS High Sierra 10.13 sowie mindestens macOS Sierra und El Capitan steckt, macht es beliebigen Apps möglich, den kompletten Schlüsselbund des Nutzers heimlich auszulesen – mitsamt allen dort gespeicherten Passwörtern im Klartext. Viele Anwendungen und Apples Systemprogramme sichern darin wichtige Angaben inklusive der Apple-ID-Informationen.

Wardle lobte Apple dafür, dass der Konzern so schnell ein ergänzendes Update für macOS High Sierra herausbrachte. "Ich denke, länger zu warten, um das dann in einem größeren Sicherheitsupdate zu kombinieren, wäre ein Fehler gewesen." Das "Supplemental Update" hatte auch noch eine peinliche Lücke in der Verschlüsselung von APFS-Volumes gestopft. Dabei wurden Passwörter plötzlich im Klartext angezeigt.

Dass Apple das Update zunächst nur für High Sierra herausbrachte, liegt Wardle zufolge auch daran, dass Apple die Leute dazu bringen will, die jeweils neueste macOS-Version zu verwenden. "In der Realität machen das aber viele Leute nicht, was sie angreifbar für trivial ausnutzbare Fehler macht." Das sei zwar nicht grundsätzlich Apples Schuld – die Nutzer sollten stets aus Sicherheitsgründen die jüngste Version nutzen – "doch in einer idealen Welt würde Apple auch ältere Versionen seines Betriebssystem absichern – zumindest einige Versionen zurück."

Tatsächlich bringt der Konzern regelmäßig auch sicherheitsrelevante Patches für ältere macOS-Varianten heraus – allerdings leider nicht konsistent. So kam etwa zum Erscheinen von macOS High Sierra kein zusätzliches Patchpaket für Sierra und El Capitan heraus. Im Beipackzettel zu den sicherheitsrelevanten Fixes hieß es lapidar, dass die Fehlerbehebungen nur für High Sierra bereitstünden.

Wardle selbst will zunächst keinen Exploit für die Schlüsselbundlücke veröffentlichen. Aktuell versucht er, mit Apple in Kontakt zu treten, um zu erfahren, ob Sierra und El Capitan vielleicht doch noch ein Update erhalten. "Vielleicht hauen sie die Fixes ja in ein 'Servicepack' namens 10.12.7?" Er wolle Nutzern zudem mehr Zeit lassen, ihr System auf High Sierra umzustellen.

Ganz unproblematisch ist das nicht: Es gibt nach wie vor inkompatible Apps und andere Probleme. Nähere Details und Proof-of-Concept-Code zur Schlüsselbundlücke werde er aber höchstwahrscheinlich "später" veröffentlichen, sagte Wardle. "Das ist ja das Spaßige an der Sache." (bsc)

42 Kommentare

Themen:

Anzeige
  1. Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Mit einem Security-Update für Sierra und El Capitan, das bereits Ende Oktober erschien, wurde auch ein böser Keychain-Bug behoben. Das hat Apple erst jetzt in den Releasenotes zur Aktualisierung klargestellt.

  2. macOS 10.12 und 10.11: KRACK-Lücke gestopft, Loch im Schlüsselbund bleibt

    macOS 10.12 und 10.11: KRACK-Lücke gestopft, Loch im Schlüsselbund bleibt

    Apple hat ein Sicherheitsupdate für Sierra und El Capitan veröffentlicht, in dem ein vieldiskutiertes WLAN-Problem behoben wurde. Ein anderer schwerwiegender Fehler wurde hingegen offenbar nicht angegangen.

  3. macOS High Sierra: Apple geht gravierende Probleme mit "ergänzendem Update" an

    High Sierra

    Der Mac-Hersteller hat ein erstes "ergänzendes Update" für macOS 10.13 freigegeben, das Probleme mit Dritt-Apps ausräumt und zwei Schwachstellen schließt: Eine ermöglicht den Klau aller Passwörter, die andere verrät Passwörter als Merkhilfe.

  4. Schwachstelle in macOS bis High Sierra: Apps können alle Schlüsselbund-Passwörter klauen

    Schwachstelle in macOS bis High Sierra: Apps können alle Schlüsselbund-Passwörter klauen

    Schad-Software kann den kompletten Inhalt des macOS-Schlüsselbundes extrahieren, darunter die Passwörter im Klartext, wie ein Sicherheitsforscher demonstriert. Die schwere Lücke lasse selbst unsignierte Apps an die sensiblen Nutzerdaten.

  1. APFS – Apple File System: Dateisystem für iPhone, iPad und Mac

    APFS Apple File System

    Die Tage von HFS+ sind gezählt, der Nachfolger APFS steht bereits in den Startlöchern: iOS 10.3 bringt das Apple-Dateisystem auf iPhone und iPad. Es soll letztlich alle Geräte abdecken – von der Apple Watch bis zum Mac Pro – und bildet die Grundlage für neue Funktionen.

  2. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. Die neue Triumph Tiger 1200

    Zweirad

    Die neue Triumph Tiger 1200 ist eine gründlich renovierte Tiger Explorer. Sie hat vor allem Gewicht verloren und ihr ohnehin schon kräftiger Motor packt jetzt noch bulliger zu. Allerdings verwirrt die Modellvielfalt von nicht weniger als sechs Varianten den unbedarften Kunden

  2. Toyota Hilux 3.0 D-4D Double Cab im Fahrbericht

    Pick-ups haben das Flair von Baustelle, Arbeit und Abenteuer. So natürlich auch der neue Toyota Hilux. Wie er sich auf der Straße und im Gelände schlägt, haben wir mit dem 171 PS starken Top-Modell ausprobiert

  3. Im Test: Ford S-Max 2.0 TDCi mit 180 PS

    Ford

    Der erste Ford S-Max war ein Van, der sich nicht wie einer fuhr. Die zweite Generation, seit September 2015 im Handel, macht einiges anders, wie unsere Ausfahrt gezeigt hat. Ist sie noch immer der Van für alle, die eigentlich keinen wollen?

  4. Im Test: Seat Ateca 1.0 TSI

    Seat Ateca

    Der Kompakt-Klasse droht seit einiger zeit heftige Konkurrenz durch ähnlich große SUV. Bei Seat ist die Verwandtschaft zwischen Leon und Ateca unverkennbar. Wie fährt sich das SUV mit dem 115-PS-Basisbenziner? Ein Test

Anzeige