Fejl i Mac OS X Lion blotter dit kodeord

Fejl i Apples nyeste Mac-styresystem betyder, at dit kodeord kan være blevet logget og nu være frit tilgængeligt.

Annonce:
Annonce:
Læs også:

På trapperne: Sådan bliver Apples nye Mountain Lion


Computerworld News Service: Apples seneste opdatering til OS X Lion indeholder ifølge en softwarekonsulent en farlig programmeringsfejl.

Den kan afsløre kodeordene til data, der er krypteret med den første version af Apples FileVault.

David I. Emery skriver på websitet Cryptome, at et stykke fejlfindingskode, der uforvarende er blevet efterladt i den seneste udgivelse af styresystemet, version 10.7.3, gemmer i såkaldt klartekst det kodeord, der bruges til at åbne den mappe, som er krypteret af den ældre version af FileVault.

Som bruger er man udsat for denne sårbarhed, hvis man har opgraderet til den seneste version af Lion men stadig anvender den ældre version af FileVault.

Fejlfindingskoden har gemt kodeordene fra alle brugere, der er logget ind på styresystemet siden opgraderingen til version 10.7.3, som udkom først i februar.

"Dette er lige præcist sådan noget, den sikrede FileVault-partition burde beskytte imod," siger Emery i et interview.

Sådan fungerer FireVault
Apple har to versioner af FileVault. Den første version gjorde det muligt for brugeren at kryptere indholdet i hjemmemappen ved hjælp af krypterings-standarden AES (Advanced Encryption Standard) med nøglestørrelser på 128-bit.

Den opdaterede version af produktet, FileVault 2, som medfølger i OS X Lion, krypterer desuden hele harddisken.

Når man opgraderer til Lion men stadig anvender den første version af FileVault, så migreres den krypterede hjemmemappe, som herefter er sårbar overfor denne sikkerhedsfejl.

Emery oplyser, at kodeordene kan læses af enhver med adgang til rodmappen eller med administratoradgang. Men hvad værre er, at kodeordene også er blottede på andre måde.

Emery forklarer, at kodeordene kan læses ved at "starte maskinen op som ekstern FireWire-disk og åbne den som en disk eller ved at starte op i Lions nye gendannelsespartition og derefter bruge den tilgængelige superbruger-shell til at mounte filsystemets primære partition og således få adgang til filen."

"Det ville gøre det muligt at bryde ind i krypterede partitioner på maskiner, man ikke kender login-kodeordet til," advarer han.

Sådan løser du problemet
Det findes heldigvis adskillige måder at løse dette problem.

Emery skriver, at de to ovenfornævnte angreb kan afværges ved blot at anvende FileVault 2. En eventuel angriber skal på den måde kende mindst ét kodeord for at få adgang til diskens primære partition, skriver han.

Herudover kan man sætte firmware-kodeord på, som så skal indtastes for at starte op i gendannelsespartitionen, fra et eksternt medie eller som ekstern FireWire-disk.

Emery advarer dog om, at Apples såkaldte Genius Bar-medarbejdere har en metode til at omgå sådanne firmware-kodeord.

Oversat af Thomas Bøndergaard

Læs også:

På trapperne: Sådan bliver Apples nye Mountain Lion



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




IT-JOB
TYPO3 developers
Topdanmark Forsikring A/S




Se flere it-job hos

 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
DS-Display A/S
Distributør af AV-udstyr, Projektorer, Interaktive tavleløsninger, Videokonference, Storformatprint og -scan samt relateret tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

White papers
I dette white paper kan du læse om Software AG's unikke tilgang til Intelligent Business...

I dette white paper kan du læse om de centrale egenskaber ved intelligente forretningsprocesser,...

I dette white paper kan du læse om, hvordan Big Data åbner for nye muligheder inden for IT...

 
Kommende events
Få styr på kunde- og supportcentret

Effektiv support af interne eller eksterne kunder, bedre overblik over ressourceforbruget og værdifulde input til udviklingen af produktet eller ydelsen. Det er resultaterne fra et veldrevet kunde- eller supportcenter der anvender de rigtige værktøjer. Deltag i Computerworlds How To om kunde- og supportsystemer - og få eksempler og inspiration til hvordan du kan skabe en løsning. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Mobility: Sådan får du de bedste løsninger

Mobility er et afgørende indsatsområde i de fleste danske virksomheder 2014. Om det er interne apps, teleløsninger, mobile grænseflader rettet mod partnere, et konkret mobilt produkt til kunderne eller noget helt fjerde, så er der rigtig mange elementer at forholde sig til. På dette how-to kommer vi omkring alt fra de grundlæggende mobil-strategier til overvejelser om infrastruktur, udvikling og drift i forbindelse med mobile løsninger. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Datasikkerhed: Kend din risiko, dit budget og dine brugere

En konference der klæder dig på til kampen om virksomhedens data med konkrete cases, videndeling og gode råd fra eksperter. Læs mere

Pfizers Konferencecenter - København - 2750 Ballerup







Computerworld
Slut med at vedhæfte filer til e-mails? Her er Microsofts nye løsning
Microsoft vil have e-mail-brugerne til at vedhæfte færre filer og i stedet udveksle dokumenterne på en anden måde.
CIO
10 ting, der kan gøre din it-afdeling til en succes
Klumme: Her har du 10 gode råd til at få forretningen og it-organisationen til at arbejde bedre sammen.
Comon
Apple-launch i aften: Nyt liv til iPad'en eller comeback til Mac'en
Apple er igen på trapperne med nye produkter, men hvad skal vi forvente?
Channelworld
Apple-præsenterede nye ultra-tynde iPads og en ny pixel-verdensmester
Tyndere, skarpere og hurtigere. Aftenens iPad-præsentation var en Apple classic.
White paper
Mobility og autentificering
Aladdin eToken er et stærkt token lifecycle management-system, som understøtter to-faktor-autentificering og fungerer med VPN og kryptering.


Log ind
x
E-mail
Kodeord