Fejl i Mac OS X Lion blotter dit kodeord

Fejl i Apples nyeste Mac-styresystem betyder, at dit kodeord kan være blevet logget og nu være frit tilgængeligt.

Annonce:
Annonce:
Læs også:

På trapperne: Sådan bliver Apples nye Mountain Lion


Computerworld News Service: Apples seneste opdatering til OS X Lion indeholder ifølge en softwarekonsulent en farlig programmeringsfejl.

Den kan afsløre kodeordene til data, der er krypteret med den første version af Apples FileVault.

David I. Emery skriver på websitet Cryptome, at et stykke fejlfindingskode, der uforvarende er blevet efterladt i den seneste udgivelse af styresystemet, version 10.7.3, gemmer i såkaldt klartekst det kodeord, der bruges til at åbne den mappe, som er krypteret af den ældre version af FileVault.

Som bruger er man udsat for denne sårbarhed, hvis man har opgraderet til den seneste version af Lion men stadig anvender den ældre version af FileVault.

Fejlfindingskoden har gemt kodeordene fra alle brugere, der er logget ind på styresystemet siden opgraderingen til version 10.7.3, som udkom først i februar.

"Dette er lige præcist sådan noget, den sikrede FileVault-partition burde beskytte imod," siger Emery i et interview.

Sådan fungerer FireVault
Apple har to versioner af FileVault. Den første version gjorde det muligt for brugeren at kryptere indholdet i hjemmemappen ved hjælp af krypterings-standarden AES (Advanced Encryption Standard) med nøglestørrelser på 128-bit.

Den opdaterede version af produktet, FileVault 2, som medfølger i OS X Lion, krypterer desuden hele harddisken.

Når man opgraderer til Lion men stadig anvender den første version af FileVault, så migreres den krypterede hjemmemappe, som herefter er sårbar overfor denne sikkerhedsfejl.

Emery oplyser, at kodeordene kan læses af enhver med adgang til rodmappen eller med administratoradgang. Men hvad værre er, at kodeordene også er blottede på andre måde.

Emery forklarer, at kodeordene kan læses ved at "starte maskinen op som ekstern FireWire-disk og åbne den som en disk eller ved at starte op i Lions nye gendannelsespartition og derefter bruge den tilgængelige superbruger-shell til at mounte filsystemets primære partition og således få adgang til filen."

"Det ville gøre det muligt at bryde ind i krypterede partitioner på maskiner, man ikke kender login-kodeordet til," advarer han.

Sådan løser du problemet
Det findes heldigvis adskillige måder at løse dette problem.

Emery skriver, at de to ovenfornævnte angreb kan afværges ved blot at anvende FileVault 2. En eventuel angriber skal på den måde kende mindst ét kodeord for at få adgang til diskens primære partition, skriver han.

Herudover kan man sætte firmware-kodeord på, som så skal indtastes for at starte op i gendannelsespartitionen, fra et eksternt medie eller som ekstern FireWire-disk.

Emery advarer dog om, at Apples såkaldte Genius Bar-medarbejdere har en metode til at omgå sådanne firmware-kodeord.

Oversat af Thomas Bøndergaard

Læs også:

På trapperne: Sådan bliver Apples nye Mountain Lion



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Acinta ApS
Udvikling og salg af software til ledelsesrapportering og dataanalyse i mindre og mellemstore virksomheder - primært handel, produktion og service.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

White papers
I dette white paper kan du læse om Software AG's unikke tilgang til Intelligent Business...

I dette white paper kan du læse om de centrale egenskaber ved intelligente forretningsprocesser,...

I dette white paper kan du læse om, hvordan Big Data åbner for nye muligheder inden for IT...

 
Kommende events
Mobility: Sådan får du de bedste løsninger

Mobility er et afgørende indsatsområde i de fleste danske virksomheder 2014. Om det er interne apps, teleløsninger, mobile grænseflader rettet mod partnere, et konkret mobilt produkt til kunderne eller noget helt fjerde, så er der rigtig mange elementer at forholde sig til. På dette how-to kommer vi omkring alt fra de grundlæggende mobil-strategier til overvejelser om infrastruktur, udvikling og drift i forbindelse med mobile løsninger. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Datasikkerhed: Kend din risiko, dit budget og dine brugere

En konference der klæder dig på til kampen om virksomhedens data med konkrete cases, videndeling og gode råd fra eksperter. Læs mere

Pfizers Konferencecenter - København - 2750 Ballerup



Datasikkerhed: Kend din risiko, dit budget og dine brugere (Aarhus)

En konference der klæder dig på til kampen om virksomhedens data med konkrete cases, videndeling og gode råd fra eksperter. Læs mere

Hotel Scandic Aarhus City - 8000 Århus C







Computerworld
Test: Her er de bedste antivirus-programmer lige nu
Hvis du er på jagt efter et antivirus-program til din pc, så læs med her, hvor 23 forskellige programmer er blevet testet.
CIO
10 ting, der kan gøre din it-afdeling til en succes
Klumme: Her har du 10 gode råd til at få forretningen og it-organisationen til at arbejde bedre sammen.
Comon
Test: Netflix, HBO Nordic, YouBio og ViaPlay - hvem vinder?
Vi har testet Netflix, HBO Nordic, YouBio og ViaPlay, men hvilken af de fire streamingtjenester er bedst? Få dommen her.
Channelworld
Apple-præsenterede nye ultra-tynde iPads og en ny pixel-verdensmester
Tyndere, skarpere og hurtigere. Aftenens iPad-præsentation var en Apple classic.
White paper
Hvilke it-risici kan du leve med?
Denne Computerworld Guide fokuserer på de elementer, der skal overvejes i forbindelse med investeringer i it-sikkerhed.


Log ind
x
E-mail
Kodeord