Bei dem in macOS integrierten Schlüsselbund ist eine schwere Schwachstelle bekanntgeworden. Manipulierte Software sei in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen. Dies beinhaltet auch die Passwörter im Klartext, wie der Sicherheitsforscher Linus Henze mitteilte.

Selbst durch unsignierte Apps sei der Zugriff auf die Kennwörter möglich und benötige weder Admin- noch Root-Rechte. Damit werde das für den Zugriff gewöhnlich benötigte Passwort umgangen. Offenbar reicht es aus, wenn der lokale Nutzer an seinem Mac angemeldet ist.

In macOS besteht die Schwachstelle bis hin zur aktuellen Version 10.14.3 Mojave, wie Henze in einem Video ausführt, einen Patch gebe es bislang nicht. Angeblich sind auch ältere macOS-Versionen betroffen. Bereits vor anderthalb Jahren wurde eine ähnliche Schwachstelle bekannt, die den Klau aller Schlüsselbund-Passwörter aus macOS ermöglichte. Damals beseitigte Apple diese mit einem außer der Reihe veröffentlichten "ergänzenden Update" für das Betriebssystem.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE