De inloggegevens van gebruikers van Mac OS X’s FileVault zijn na update 10.7.3 opgeslagen als platte tekst in een debug-logbestand. Dit bestand wordt per ongeluk aangemaakt omdat een debug-flag ingeschakeld is gebleven bij de laatste update van Mac OS X Lion. Het gaat enkel om het wachtwoord van gebruikers voor het inloggen in OS X en FileVault.
Beveiligingsonderzoeker David Emry ontdekte het probleem en maakte er melding van op de Cryptome mailinglijst. Iedereen die gebuik maakte van FileVault voordat Lion gelanceerd werd en een upgrade heeft uitgevoerd naar Lion-versie 10.7.3, is kwetsbaar voor het probleem, dit geldt ook voor gemaakt Time Machine-backups. Gebruikers van FileVault 2, welke de gehele disk versleutelt, zijn niet geraakt.
De update is al beschikbaar vanaf 1 februari, maar Apple heeft nog niet gereageerd op de bekendmaking van het lek. Onbekend is dus wanneer er een oplossing komt, maar zelfs wanneer er een patch beschikbaar komt, is het onmogelijk om te garanderen dat het logbestand volledig kan worden verwijderd, in verband met mogelijk gemaakte backups. Er wordt dan ook aangeraden om het wachtwoord zo snel mogelijk aan te passen.
De logbestanden worden slechts enkele weken behouden, waarna ze automatisch verwijderd worden, al blijft het gebruikte wachtwoord ook dan dus enkele weken in de logs rondzwerven.
1 dag geleden
