• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Viele hassen ihn, manche schwören auf ihn, wir aber möchten unbedingt sehen, welche Bilder Ihr vor Eurem geistigen Auge bzw. vor der Linse Eures iPhone oder iPad sehen könnt, wenn Ihr dieses Wort hört oder lest. Macht mit und beteiligt Euch an unserem Frühjahrsputz ---> Klick

Sicherheitslücke: macOS High Sierra - Unsignierte Apps können Passwörter auslesen

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
u0679 schrieb:
So hab ich das auch verstanden, wenn der Entwickler bzw. seine Seite jetzt angegriffen wird, kann über ein Update dann Schadcode, der die Lücke ausnutzt auf den Macs landen.
Ich hab ja auch Tools wie EtreCheck oder Gimp im Einsatz.
Zum Vergrößern anklicken....
Das kann prinzipiell immer passieren.
 

Flogs

Alkmene
Registriert
21.02.16
Beiträge
31
Wenn ich den Heise Artikel (hier) richtig verstehe, dann schließt High Sierra einige Sicherheitslücken, die Apple jetzt für El Capitan und Sierra noch nicht geschlossen hat. Der hier in der News beschriebene Bug ist aber noch aktuell.
 
  • Like
Reaktionen: Papa_Baer
ottomane

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.384
Michael Reimann schrieb:
Update-Warnung
Zum Vergrößern anklicken....

Ich greife das noch einmal auf und behaupte das Gegenteil :)

Sierra und High Sierra enthalten beide gleichermaßen die oben beschriebene Keychain-Lücke. High Sierra behebt aber folgende Sicherheitsprobeme:

https://support.apple.com/en-us/HT208144

Diese Fixes sind für Sierra bisher nicht verfügbar. Es ist insofern ein Fehler, jetzt nicht zu updaten. Man kann nur vor einer Update-Verweigerung warnen.
 
u0679

u0679

Moderator
AT Moderation
Registriert
09.11.12
Beiträge
7.348
Ist denn überhaupt nur die Schlüsselbundverwaltung betroffen, wenn sie in der iCloud liegt oder auch lokal?
 
kelevra

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Man sollte hier auch wirklich mal relativieren:

1. Ist der Angriff sehr speziell und die Wahrscheinlichkeit sehr gering
2. Können Apps by design nicht die komplette Keychain auslesen
3. Sollte man, wann immer auch eine App nach Zugriff auf den Schlüsselbund fragt, überlegen ob dieser gerechtfertigt ist. Im Zweifel lieber etwas vorsichtiger sein udn erstmal verweigern und sich informieren

Wir müssen jetzt auf jeden Fall nicht alle unsere Macs in Alufolie wickeln. :eek:
 
  • Like
Reaktionen: echo.park
ottomane

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.384
Er schreibt selbst, dass Apple nur wenig Zeit für einen Patch hatte. Gleichzeitig veröffentlicht er den Fehler (zum Glück nicht den Code).

Ich interpretiere das so, dass er maximale Aufmerksamkeit schüren wollte (zum release von HS!). Gleichzeitig rennen jetzt vermutlich Bösewichte los und versuchen den Exploit nachzubauen, weil sie nun wissen, dass es geht. Das ist sein Werk. Gleichzeitig wissen viele Kunden nicht, was sie tun sollen und sie haben ja ohnehin keine Wahl.

Warum wartet der gute Mann nicht, bis der Fehler behoben ist? Was ist die Motivation, diese Veröffentlichung jetzt vorzunehmen? Apple hat doch den Anschein erweckt, ihn sehr ernst zu nehmen und es gab keinerlei Grund, Apple unter Druck zu setzen.

Ich finde das Verhalten äußerst fragwürdig. Er stellt seine Bekanntheit über alles.

Dies ist seiner Expertise unwürdig.
 
  • Like
Reaktionen: echo.park und kelevra
kelevra

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Der Meinung bin ich auch, @ottomane. An seiner Stelle hätte ich den Ball flach gehalten. Die Gefahr, die von dem Bug aus geht ist überschaubar und er Bedarf auch nicht gerade rudimentärer Kenntnisse um umgesetzt/ausgenutzt zu werden.

Nach verööfentlichung des Fix hätte man immer noch einen Artikel zum Thema schreiben können. Ein entsprechendes Verhalten kommt uach bei den Unternehmen besser an und man findet eher Gehör.
 
  • Like
Reaktionen: ottomane

Flogs

Alkmene
Registriert
21.02.16
Beiträge
31
kelevra schrieb:
Man sollte hier auch wirklich mal relativieren:
1. Ist der Angriff sehr speziell und die Wahrscheinlichkeit sehr gering
2. Können Apps by design nicht die komplette Keychain auslesen
3. Sollte man, wann immer auch eine App nach Zugriff auf den Schlüsselbund fragt, überlegen ob dieser gerechtfertigt ist. Im Zweifel lieber etwas vorsichtiger sein udn erstmal verweigern und sich informieren
Zum Vergrößern anklicken....

Man sollte aber auch nicht zu viel relativen.
1. Der Angriff ist möglich und könnte beim nächsten Update einer Software dabei sein
2. Dies macht ja gerade die Lücke aus. Mit ihrer Hilfe kann die komplette Keychain ausgelesen werden.
3. Die Lücke fragt anscheinend nicht nach dem Zugriff. Die Keychain muss nur offen sein, was normalerweise nach dem Login passiert.
 
  • Like
Reaktionen: echo.park und frostdiver

Flogs

Alkmene
Registriert
21.02.16
Beiträge
31
kelevra schrieb:
An seiner Stelle hätte ich den Ball flach gehalten.
Zum Vergrößern anklicken....

Diese Diskussion ist schon so alt wie die Veröffentlichung von Bugs. Es gibt für beide Seiten Argumente. Ich persönlich bin aber der Meinung, dass ein gefundener Bug so wie hier geschehen veröffentlicht werden sollte. Es soll ja kein Proof-Of-Concept Script dabei liegen das es ausführt. Aber oberflächlich sollte die Sicherheitslücke bekannt sein, damit man geeignete Gegenmaßnahmen vornehmen kann bis Apple reagiert hat. Man muss immer davon ausgehen, dass die Lücke auch von anderen Personen gefunden wurde bzw. schon ausgenutzt wird.
 
  • Like
Reaktionen: kelevra
wir43

wir43

Moderator
AT Moderation
Registriert
28.01.07
Beiträge
8.183
Patrick Wardle schreibt in einer weiteren Stellungname ( die ich jetzt gerade leider nicht wiederfinde) selber, dass er trotz der Sicherheitlücke empfiehlt macOS High Sierra zu installieren. Da durch High Sierra etliche Sicherheitslücken geschlossen werden, die von ihm gefundene Sicherheitslücke aber auch in älteren Versionen von macOS existiert, bring ein Update mehr Nutzen als Schaden.
 
  • Like
Reaktionen: kelevra, echo.park und ottomane
NorbertM

NorbertM

Hochzeitsapfel
Registriert
03.01.15
Beiträge
9.381
In meinem Schlüsselbund sind gar keine kritischen Passwörter, Logins für Foren oder irgendwelche Internetportale sind nicht wirklich gefährlich, wenn sie in falsche Hände geraten.

Zudem muss man die entsprechende Schadsoftware ja erst mal installiert haben und ob die Lücke überhaupt schon aktiv genutzt wird, ist eine weitere Frage.

Ich bin deshalb diesbezüglich sehr gelassen und warte in Ruhe auf einen Fix.
 
  • Like
Reaktionen: kelevra und echo.park
ottomane

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.384
So mache ich es auch. Bank-Logins usw. sind in meinem Kopf und auf gesichertem Papier. Die Keychain kennt nur Passwörter, die unwichtig sind. Allerdings lässt es sich nicht ganz vermeiden, dass z.B. bestimmte Schlüssel auch dort liegen.
 
floriano

floriano

Ingol
Registriert
11.11.14
Beiträge
2.081
kelevra schrieb:
Es erhöht etwas die Sicherheit, da der Schlüsselbund nicht mit dem Login entsperrt wird und so bösartigen Apps potenziell zur Verfügung steht. Auch wenn eigentlich eine Abfrage stattfinden soll, solche Fälle, wie der aktuelle zeigen, dass auch die Mechanismen von Apple umgangen werden können (welch Überraschung).

Ich habe zusätzlich auch unter Bearbeiten → Einstellungen für Schlüsselbund ändern die Option Bei Wechsel in Ruhezustand schützen aktiviert. Damit wird der Schlüsselbund gesperrt sobald der Mac in den Ruhezustand wechselt.

Beides hat natürlich zu Folge, dass man öfters mal das Passwort eingeben muss. Bei mir hält sich das in Grenzen, da ich primär 1Password nutze und nur das nötigste im Schlüsselbund habe. Die Safari integrierte Passwortfunktion nutze ich bspw. gar nicht.
Zum Vergrößern anklicken....

Danke habe sowohl das PW geändert als auch diese Einstellung vorgenommen.
Ich habe macOS Sierra 10.12.6, gab es hier den Bug auch schon?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten