Fejl i Mac OS X Lion blotter dit kodeord

Fejl i Apples nyeste Mac-styresystem betyder, at dit kodeord kan være blevet logget og nu være frit tilgængeligt.

Annonce:
Annonce:
Læs også:

På trapperne: Sådan bliver Apples nye Mountain Lion


Computerworld News Service: Apples seneste opdatering til OS X Lion indeholder ifølge en softwarekonsulent en farlig programmeringsfejl.

Den kan afsløre kodeordene til data, der er krypteret med den første version af Apples FileVault.

David I. Emery skriver på websitet Cryptome, at et stykke fejlfindingskode, der uforvarende er blevet efterladt i den seneste udgivelse af styresystemet, version 10.7.3, gemmer i såkaldt klartekst det kodeord, der bruges til at åbne den mappe, som er krypteret af den ældre version af FileVault.

Som bruger er man udsat for denne sårbarhed, hvis man har opgraderet til den seneste version af Lion men stadig anvender den ældre version af FileVault.

Fejlfindingskoden har gemt kodeordene fra alle brugere, der er logget ind på styresystemet siden opgraderingen til version 10.7.3, som udkom først i februar.

"Dette er lige præcist sådan noget, den sikrede FileVault-partition burde beskytte imod," siger Emery i et interview.

Sådan fungerer FireVault
Apple har to versioner af FileVault. Den første version gjorde det muligt for brugeren at kryptere indholdet i hjemmemappen ved hjælp af krypterings-standarden AES (Advanced Encryption Standard) med nøglestørrelser på 128-bit.

Den opdaterede version af produktet, FileVault 2, som medfølger i OS X Lion, krypterer desuden hele harddisken.

Når man opgraderer til Lion men stadig anvender den første version af FileVault, så migreres den krypterede hjemmemappe, som herefter er sårbar overfor denne sikkerhedsfejl.

Emery oplyser, at kodeordene kan læses af enhver med adgang til rodmappen eller med administratoradgang. Men hvad værre er, at kodeordene også er blottede på andre måde.

Emery forklarer, at kodeordene kan læses ved at "starte maskinen op som ekstern FireWire-disk og åbne den som en disk eller ved at starte op i Lions nye gendannelsespartition og derefter bruge den tilgængelige superbruger-shell til at mounte filsystemets primære partition og således få adgang til filen."

"Det ville gøre det muligt at bryde ind i krypterede partitioner på maskiner, man ikke kender login-kodeordet til," advarer han.

Sådan løser du problemet
Det findes heldigvis adskillige måder at løse dette problem.

Emery skriver, at de to ovenfornævnte angreb kan afværges ved blot at anvende FileVault 2. En eventuel angriber skal på den måde kende mindst ét kodeord for at få adgang til diskens primære partition, skriver han.

Herudover kan man sætte firmware-kodeord på, som så skal indtastes for at starte op i gendannelsespartitionen, fra et eksternt medie eller som ekstern FireWire-disk.

Emery advarer dog om, at Apples såkaldte Genius Bar-medarbejdere har en metode til at omgå sådanne firmware-kodeord.

Oversat af Thomas Bøndergaard

Læs også:

På trapperne: Sådan bliver Apples nye Mountain Lion



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




IT-JOB
Frontend-ekspert
Silkeborg Data


Systemudvikler/programmør
Topdanmark Forsikring A/S



Se flere it-job hos

 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Athena IT-Group A/S
Sælger ydelser indenfor outsourcing, hosting, infrastruktur, software og systemer samt udlejning af hardware, software, drift og service.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

White papers
I dette white paper kan du læse om, hvad medarbejderne i dag forventer af dine...

I dette white paper kan du læse om Software AG's unikke tilgang til Intelligent Business...

I dette white paper kan du læse om de centrale egenskaber ved intelligente forretningsprocesser,...

 
Kommende events
Datacentre

It-chefens måske vigtigste opgave er hele tiden at vælge den mest optimale måde at håndtere virksomhedens data på - herunder at vælge hvor og hvordan virksomhedens data skal behandles. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Cloud Masterclass

Bliv klædt på til at træffe dine egne beslutninger om brugen af cloud-løsninger. Kom til Computerworld Cloud Masterclass og hør danske cases og internationale eksperter fra IBM, Microsoft og Amazon. Læs mere

Park Inn Radisson - 2300 København



Har du styr på IT sikkerheden?

Hvad gør din virksomhed for at lukke døren for hackere? Og ved du hvad dine IT konsulenter foretager sig på dit netværk? Flere "devices" på netværket og flere konsulenter til at servicere dem eksponerer dit netværk for cyber trusler. Hør mere om Vendor Risk Management og sikker remote access på dette How To? Læs mere

Pfizers Konferencecenter - 2750 Ballerup








Log ind
x
E-mail
Kodeord