Mitte Dezember hat Apple mit macOS 10.12.2 ein schwerwiegendes Sicherheitsproblem ausgeräumt. Nutzer sollten das Update dringend einspielen, zumal es über 70 weitere Schwachstellen beseitigt. Im wohl wichtigsten Fall ging es um eine Lücke, durch die sich das Nutzerpasswort über den Thunderbolt-Port auslesen ließ – denn bevor macOS startete, schützte sich der Mac nicht gegen DMA-Zugriffe von Thunderbolt-Geräten (Direct Memory Access).

Laut Sicherheitsforscher Ulf Frisk kam Angreifern entgegen, dass das Passwort im Speicher im Klartext vorlag und nach dem Entsperren nicht automatisch gelöscht wurde. Daher genügten nach einem Neustart einige Sekunden, um das Passwort auszulesen, bevor der Speicher mit neuen Inhalten beschrieben wurde. Die erforderliche Software bietet Frisk auf Github zum Download an: PCILeech umfasst in Version 1.3 den Mac-Password-Grabber.

Voraussetzung für den Angriff sind physischer Zugriff auf einen gesperrten oder schlafenden Mac, ein PCI-Express-Board, ein Thunderbolt-Adapter sowie eine Betriebssystemversion vor 10.12.2. Der Angriff wurde zunächst nur gegen mobile Macs mit Thunderbolt-2-Anschlüssen getestet. Verwendet der Nutzer im Passwort Zeichen außerhalb der ASCII-Tabelle, muss es der Angreifer manuell im Memory-Dump suchen.

Frisk hat Apple Mitte August über das Problem informiert. Macs mit älteren OS-X-Versionen sind dieser Angriffsmethode offenbar weiterhin ausgesetzt. Für zusätzlichen Schutz gegen physisch präsente Angreifer sollten Nutzer ein Firmware-Passwort setzen. (dz@ct.de)

PCILeech:ct.de/y8kn

Apples Medien-Software iTunes ist Mitte Dezember in Version 12.5.4 für Windows und macOS erschienen: Die Windows-Version beseitigt über 20 Sicherheitslücken in WebKit. Einige davon erlauben das Einschleusen und Ausführen von Schadcode sowie das Auslesen von Nutzerinformationen durch manipulierte Web-Inhalte, teilt Apple mit.

Entsprechende Schwachstellen hat Apple auch mit der iCloud-Version 6.1 für Windows ausgeräumt. Mac-seitig wurden die WebKit-Probleme durch macOS 10.12.2 respektive das Safari-Update auf Version 10.0.2 behoben.

iTunes 12.5.4 spielt mit der neuen TV-App zusammen. Diese ersetzt in den USA die Videos-App auf iPhone, iPad und iPod touch. iTunes 12.5.4 nutzt außerdem die Navigationsleiste des 2016er MacBook Pro. Damit lasse sich die Wiedergabe „schnell und einfach“ an bestimmten Stellen innerhalb von Musikstücken, TV-Serien und Spielfilmen starten, so Apple. (dz@ct.de)

Jiři Šebek hat einen simplen LaunchDaemon veröffentlicht, mittels dem sich SSH-Schlüssel-Passphrases auch in den Schlüsselbund von macOS-Sierra importieren und fortan automatisch verwenden lassen. In älteren OS-X-Versionen ließ sich eine Passphrase über das Kommando /usr/bin/ssh-add -K Dateiname in den Schlüsselbund übertragen. Diesen Weg hat Apple in macOS Sierra gesperrt, um das Verhalten laut eigenen Aussagen „an OpenSSH anzupassen“ (siehe auch openradar.appspot.com/27348363).

Šebek bietet zwar keine vollständige Lösung, bei der eine Passphrase dauerhaft im Schlüsselbund landet, aber immerhin einen Behelf: Man ergänzt das Kommando /usr/bin/ssh-add -K Dateipfad bei jedem Neustart des Macs mit dem Befehl ssh-add -A. Eine passende .plist-Datei hat Šebek auf Github veröffentlicht; man steckt sie in den Ordner ~/Library/LaunchAgents. (dz@ct.de)

SSH-Key für Schlüsselbund von macOS-Sierra:ct.de/y8kn