In der gestern Abend freigegebenen neuen Betriebssystemversion macOS High Sierra wurde vom Sicherheitsexperten Patrick Wardle ein Sicherheitsproblem dokumentiert:
Einem Angreifer könnte es demnach gelingen, ohne Passworteingabe den Inhalt des macOS-Schlüsselbundes im Klartext auszulesen. Zwar muß der Angreifer dafür physikalischen Zugang zum Gerät haben, aber da es bislang noch keine Korrektur hierfür gibt, rate ich zum derzeitigen Zeitpunkt von einer Installation der neuen Betriebssystemversion zumindest in Büros mit mehreren Nutzern dringend ab. (Mein persönlicher CERT per Email.)
2 (Email-) Kommentare
Ich weiss nicht, was bei 10.13 noch unsicherer ist, aber der Kniff funktioniert auch mit allen mir zugänglichen älteren OS Versionen.
Das Problem ist, das alle Passwörter per default im Anmeldeschlüsselbund gespeichert werden und selbiger im Normalzustand entsperrt ist.
Es spricht nichts dagegen,
- sensible Passwörter NICHT im Anmeldeschlüsselbund zu haben
- zum Überblick den Schlüsselbundstatus in der Menüleiste anzuzeigen (sieheSchlüsselbundverwaltung -> Voreinstellungen -> "Schlüsselbundstatus in der Menüleiste anzeigen"
)
- und das eben aktivierte Schlüsselbundmenü dazu benutzen, einzelne Schlüsselbunde zu sperren oder freizugeben.
Um zu sehen, wie weit dein Rechner "verunsichert" ist, gib folgendes im Terminal ein:
security dump-keychain -d login.keychain >Anmeldepasswoerter.txt
Das erzeugt eine Textdatei "Anmeldepasswoerter.txt" im aktuellen Terminal Ordner.
Falls Du nach einem Passwort gefragt wurdest, ist alles gut. Ich musste nur gefühlte 100 mal "erlauben" klicken um alle meine Passwörter in einer Textdatei wiederzufinden; keine Passwortabfrage unter 10.6 und 10.10.
– Karsten W. (Kommentieren) (#)
Alte Hüte. Man installiert keine .0-Versionen, wenn man nicht muss (oder Sicherheitsforscher ist). Trotzdem nicht verkehrt, darauf hinzuweisen.
– Moss (Kommentieren) (#)
Über …
Der Schockwellenreiter ist seit dem 24. April 2000 das Weblog digitale Kritzelheft von Jörg Kantel (Neuköllner, EDV-Leiter, Autor, Netzaktivist und Hundesportler — Reihenfolge rein zufällig). Hier steht, was mir gefällt. Wem es nicht gefällt, der braucht ja nicht mitzulesen. Wer aber mitliest, ist herzlich willkommen und eingeladen, mitzudiskutieren!
Alle eigenen Inhalte des Schockwellenreiters stehen unter einer Creative-Commons-Lizenz, jedoch können fremde Inhalte (speziell Videos, Photos und sonstige Bilder) unter einer anderen Lizenz stehen.
Der Besuch dieser Webseite wird aktuell von der Piwik Webanalyse erfaßt. Hier können Sie der Erfassung widersprechen.
Diese Seite verwendet keine Cookies. Warum auch? Was allerdings die iframes
von Amazon, YouTube und Co. machen, entzieht sich meiner Kenntnis.
Werbung