Apple blundert met Lion-update
Het gaat om de wachtwoorden van FileVault waarmee bestanden en mappen op de Mac kunnen worden versleuteld. Wie FileVault gebruikte voor de upgrade naar Lion en de encryptie van de folders volgens de oude FileVault in stand liet, loopt het risico dat iedereen met een administrator account of roottoegang de versleutelde gegevens kan bekijken. De bestanden kunnen ook bekeken worden door de schijf met Firewire aan een andere Mac te koppelen.
Shutterstock
Shutterstock
Bij het vrijgeven van de upgrade is vergeten een debug-status (DEBUGLOG) terug te zetten naar de normale productiestatus. Daardoor is het mogelijk de inloggegevens van iedereen die zich op het systeem aanmeldde sinds de upgrade op te vragen. Deze wachtwoorden worden onversleuteld opgeslagen in een tekstbestand.
FileVault2 biedt uitkomst
De beveiligingsmisser werd ontdekt door beveiligingsonderzoeker David Emry die zijn bevindingen vrijdag publiceerde op de Cryptome mailinglist. Hij geeft aan dat gebruikers FileVault 2 kunnen gebruiken om een hele schijf in een keer te versleutelen. FileVault2 valt niet onder de gewraakte debug-status.
Apple gaf de Lion-upgrade begin februari vrij. Het bedrijf heeft nog niet gereageerd op het beveiligingsincident. Het is onduidelijk wanneer het probleem wordt hersteld. Een simpele patch van Lion waarmee de debug-status wordt teruggedraaid is niet voldoende omdat het tekstbestand met de inloggegevens moet worden verwijderd.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee