Sicherheitslücke in min. 10.12 und 10.13 [High] Sierra - Schlüsselbund

[Olivetti]

»Wardle has shown that the vulnerability allows an attacker to grab and steal every password in plain-text using an unsigned app downloaded from the internet, without needing that password.«

Twitter: https://twitter.com/patrickwardle/status/912254053849079808

Artikel: http://www.zdnet.com/article/apple-macos-high-sierra-password-vulnerable-to-password-stealing-hack/

Solange Apple nicht reagiert, wird geraten 10.13 noch nicht zu installieren – zumindest auf kritischen Systemen.
Apple hat reagiert und empfiehlt zum Upgrade.

---

Update Q&A: https://www.patreon.com/posts/14556409

»Q: What can I do to protect myself from this attack?
A: A few things. As mentioned before, this attack is local, meaning malicious adversaries have to first compromise your mac in some way. So best bet - don't get infected. This means run the latest version of macOS and don't run random apps from emails or the web. Also, this attack requires that the keychain is unlocked. By default the keychain is unlocked when the user logs in. However, you can change the keychain password (so it is not automatically unlocked during login, or (via the Keychain Access app) lock the keychain while you are not using it.«

10.11 El Capitan soll ebenso angreifbar sein.

 

[oneOeight]

ältere versionen sind auch betroffen
kann man doch wohl auch nicht installieren

 

[scampooo]

Oh gut zu wissen. Danke

 

[Olivetti]

ältere versionen sind auch betroffen
kann man doch wohl auch nicht installieren

so gesehen hast du natürlich recht.

 

[CROWLEY]

Das heißt dann, dass wenn man die Keychain nicht nutzt, dies keine weiteren Auswirkungen hat?

 

[Olivetti]

ja, soweit das eben möglich ist.

ein workaround wäre, die keychains separat zu sichern und soweit möglich, enthaltene passwörter abzuräumen

und "systemeinstellungen/sicherheit/apps-download erlauben von:" nicht auf "keine einschränkungen" zu stellen, am besten auf "mac app store" umstellen. evtl. ist aber gatekeeper maßgeblich an der schwachstelle beteiligt, unter berücksichtigung von gehackten/eingeschmuggelten updates.

edit: oder den schlüsselbund in schlüsselbundverwaltung sperren, solange man ihn nicht nutzt. siehe update in #1.

 

[bimbam]

Wenn 140 Zeichen und ein Video nicht ausreichen... https://www.patreon.com/posts/14556409

 

[Hausbesetzer]

Bester Kommentar:

Jedes Mal, wenn er „macOS falsch angucke“, falle etwas um. Benutzer sollten sich darüber im Klaren sein, dass massive Sicherheitslücken bestehen.

 

[electricdawn]

Ok, jetzt mal fuer mein Verstaendnis (ich benutze den Schluesselbund nicht):

Wenn ich einlogge, wird der Schluesselbund automatisch freigeschaltet, damit Apps die Passwoerter nutzen koennen.
Frage: Kann jede App an jedes beliebige Passwort kommen, oder sendet macOS das Passwort zu der App?

Wenn jede App an jedes Passwort kommen koennte, waere diese Passwortphishingapp ja nix Besonderes. Aber ich denke mal, dass dem nicht so ist, oder?

 

[Hausbesetzer]

Wenn ich einlogge, wird der Schluesselbund automatisch freigeschaltet, damit Apps die Passwoerter nutzen koennen.
Frage: Kann jede App an jedes beliebige Passwort kommen, oder sendet macOS das Passwort zu der App?

Du kommst einfach gesagt als App nur an "dein" (von Dir da hingelegt) Passwort

 

[little_pixel]

Hallo,

grundsätzlich kann eine Anwendung jedes beliebige Passwort abfragen.
Hierzu schaltet das System aber einen Sicherheitsdialog dazwischen, der den Anwender über die Nutzung informiert und um seine Einwilligung bittet.
Gibt der Anwender diese nicht, dann bekommt die Anwendung/Entwickler die entsprechende Nachricht und bekommt kein Passwort.

Laut dem Artikel ist das aber auch ohne Zutun vom Anwender möglich…

Technisches Blabla gibt es hier zu lesen:
https://developer.apple.com/library...html#//apple_ref/doc/uid/TP30000897-CH205-TP9

Falls es jemand nicht kennt, siehe Bild anbei.
Mit einem Klick auf den Schlüssel können die Beschränkungen und Einwilligungen eingesehen werden.

Viele Grüße

 

[punkerknacker]

ja was jetzt???... kann man HS nun drauf packen, oder lieber noch warten... ???
EDIT: oder besser gesagt, welche software ( wenn überhaupt ) sollte man auf KEINEN FALL auf dem Computer haben, damit HS sicher arbeitet?

 

[Olivetti]

für 10.13 ist das macOS High Sierra 10.13 Supplemental Update da -> https://support.apple.com/en-us/HT208165

 

[Hausbesetzer]

Schon arm, dass Apple in dem App Store Updater nix von Security schreibt und auch wenn man versucht sich da durchzuklicken nirgends ein Link auf o.g. Supportpage ist