Fehler in Max OS X Lion offenbart Passwörter

Ein Sicherheitsexperte hat in der aktuellen Version Mac OS X 10.7.3 (Lion) eine Sicherheitslücke entdeckt. Durch einen Software-Fehler, so der Experte David I. Emery in einem Blog-Eintrag, würden die Passwörter, die das Betriebssystem verwende, um die mit einer älteren Version der Verschlüsselungsfunktion FileVault verschlüsselten Daten zu entschlüsseln, im Klartext gespeichert. Vorausgesetzt werde, dass der Mac-Anwender nach dem Umstieg auf Mac OS X 10.7 (Lion) auch weiterhin die alte Version von FileVault nutze und nicht FileVault2, das mit Mac OS X Lion ausgeliefert wird.

Die für FileVault verwendeten Passwörter werden laut Emery im Klartext gespeichert, weil die Apple-Entwickler versehentlich einen Debug-Schalter gesetzt haben. Durch diesen versehentlich in der finalen Version aktivierten Schalter würden alle Passwörter der User, die seit Veröffentlichung des Upgrades auf Mac OS X 10.7.3 im Februar verwendet wurden, im Klartext gespeichert. Damit könne jeder Anwender diese Passwörter einsehen, der auf dem Rechner die Root- oder Administrator-Rechte besitzt. Apple hat sich zu der Sicherheitsschwäche noch nicht geäussert. Emery wundert sich, wieso ein derartiger Debug-Schalter überhaupt in einem ausgelieferten Programmcode enthalten war. Wäre dieser Schalter nicht im Code drin gewesen, dann hätte ihn auch niemand versehentlich aktivieren können.
Die erste von Apple veröffentlichte Version von FileVault verschlüsselt mittels AES und einem 128-Bit-Schlüssel (Advanced Encryption Standard) den Inhalt des Heimverzeichnisses. Mit Mac OS X Lion hatte Apple FileVault2 ausgeliefert, das gesamte Laufwerke verschlüsseln kann.