Eine aktuelle Nachricht über Mac OS X Lion könnte Nutzern des Betriebssystems nun etwas Kopfzerbrechen bereiten. Denn laut einem Bericht des Sicherheitsexperten Patrick Dunstan von dem „Defence in Depth-Blog“ weist das Betriebssystem eine Sicherheitslücke auf, die die Änderung des Passwortes durch einen anderen Nutzer ermöglicht.
Falsch gesetzte Zugriffsrechte
Diese Sicherheitslücke sei auf einen Fehler in der Vergabe der Zugriffsrechte zurückzuführen, so dass Nutzer desselben Systems das Passwort eines anderen Nutzers verändern könnten. Bereits im Jahr 2009 fand Dunstan heraus, wie man Passwörter beim Betriebssystem Mac OS X knacken kann. Zwar änderte Apple beim Mac OS X Lion das Authentifizierungsschema, doch scheint den Apple Entwicklern beim neusten Betriebssystem dennoch ein Fehler unterlaufen zu sein.
Wie Dunstan herausfand, können auch so genannte Non-Root-User unter Mac OS X Lion über den Directory Service die Passwort-Hashes der Shadow-Dateien einsehen. Zusätzlich sei es über einen einfachen Befehl möglich das Passwort des anderen Nutzers zu ändern. Hierfür verlange das Betriebssystem nicht einmal eine gesonderte Authentifizierung und der Angreifer könne ohne Weiteres ein neues Passwort vergeben.
Passwortänderung nicht immer möglich
Allerdings scheint die Auslesung und Änderung des Passwortes nicht bei jedem Nutzer zu funktionieren – dies berichten zumindest einige Leser von Dunstans Blog. Denn obwohl diese auf die gleiche Weise vorgingen, klappte die Passwortänderung auf ihrem System nicht. Auch eine Rekonstruktion durch Heise Security blieb erfolglos.
Noch kein Patch von Apple in Sicht
Bislang hat Apple noch keine Maßnahmen ergriffen, um diese Sicherheitslücke zu schließen. Allerdings können sich die Nutzer selbst durch ein paar Schutzmechanismen gegen diese Passwortänderung schützen. Wer seinen Rechner vor unerlaubten Zugriffen schützen möchte, der sollte zum Beispiel ein Passwort festlegen, dass beim Starten aus dem Ruhezustand oder nach dem Bildschirmschoner eingegeben werden muss. Zusätzlich sollten User Gast-Zugänge und das automatische Einloggen deaktivieren. Weiterhin können auch anderen Nutzern die Admin-Rechte entzogen werden.
