Apple hat gestern Abend macOS High Sierra veröffentlich. Etwas später hat sich Patrick Wardle zu Wort gemeldet und will eine Sicherheitslücke gefunden haben: Ein Programm, ohne Root-Rechte, könne die Passwörter aus dem Schlüsselbund auslesen. Für eine große Gefahr hält er das derzeit aber nicht.
Schlüssel zur Macht
Der ehemalige NSA-Analyst Patrick Wardle, der jetzt als Sicherheitsdienstleister tätig ist, berichtet auf Twitter, eine Sicherheitslücke in macOS High Sierra gefunden zu haben. Diese soll es einem unsignierten Programm erlauben, die Passwörter aus dem Schlüsselbund des Nutzers auszulesen – und zwar im Klartext, ohne selbst nach einem Passwort zu fragen oder selbst Root-Zugriff zu benötigen.
In einem Video demonstriert er ein kleines Demo-Programm, was das ermöglicht. Code wollte er mit der Welt allerdings noch nicht teilen, vermutlich möchte er warten, bis Apple das Problem selbst gelöst hat und erst bei einem verfügbaren Update Details veröffentlichen.
Immerhin geht er davon aus, dass die Lücke zumindest aktuell keine große Bedrohung darstellt. Seinem Wissen nach verwendet niemand sonst diese Lücke, d.h. es gibt derzeit auch keine Schadsoftware, die die Lücke ausnutzen könnte. Mit der iCloud-Schlüsselbundverwaltung hat die Lücke potenziell aber schon enormes Schadenspotenzial.