När kommer Apple patch Lion fel som lagrar lösenorden i klartext?

Det finns en stor säkerhet fel i för närvarande sjöfarten version av OS X Lion (10.7.3). webbplatsens egen Emil Protalinski och Ed Bott utsatt det efter den först rapporterades av säkerhetsforskaren David Emery på sändlistan cryptome.

Cloud, Cloud computing växer upp, en API åt gången, utvecklare, Google köper Apigee för $ 625.000.000, hårdvara, Raspberry Pi träffar tio miljoner försäljning, firar med “premium” bunt, säkerhet, Adobe reanimates NPAPI Flash för Linux efter fyra år stasis

Användare av Apples Filevault kryptering som uppgraderats från Snow Leopard till OS X Lion uppdatering 10.7.3 (build 11D50) tydligen utsatt av en bit av vandrande kod som visade på en systemövergripande felsökningsloggfilen innehåller inloggningslösenord för varje användare som loggade i eftersom uppdateringen har tillämpats – lagras i klartext.

Loggfilen i fråga är tillgänglig utanför den krypterade område som ger alla med administratör eller root-åtkomst användaruppgifter för en hel krypterad partition. Och det blir värre. Även om du inte är en administratör eller root-användare, är allt som behövs fysisk tillgång till maskinen och datas upp i luften. Du kan också få tillgång till loggfilen via FireWire-hårddiskläge och läsa den krypterade partitionen.

Hoppsan.

Protalinski skriver

Någon som använde Filevault kryptering på sin Mac före Lion, uppgraderas till Lion, men höll mappar krypteras med den äldre versionen av Filevault är sårbar. Filevault 2 (hela diskkryptering) är opåverkad.

Sophos ‘Chester Wisniewski skriver

Utsatta användare som inte kryptera sina Time Machine risk replikera loggfilen till sina säkerhetskopior, vilket kan innebära långsiktig lagring av deras okrypterade lösenord.

Den värsta delen? Felet nämndes också på Apples support gemenskaperna exakt tre månader sedan och var aldrig upp.

Om du är bekymrad över felet kan du kontakta: product-security@apple.com. Den enda fix redan nu är att göra en fullständig diskkryptering med hjälp av Apples Filevault 2 och rensa alla säkerhetskopior av den sårbara partitionen.

Apple: du är på klockan.

Uppdatering: Dave Emery förklarar att det är trivialt att testa för att se om Apple fast felet i OS X 10.7.4 bygga 11E53 som släpptes till Apple utvecklare den 1 maj om du har en äldre Filevault partition. Lion inte direkt kan du skapa en ny FV1 partition i det grafiska gränssnittet, men du kan göra det för hand.

Om du har en FV1 partition och känns som att testa det, här är stegen. Maila mig en skärmdump av dina resultat och jag ska lägga till dem i det här inlägget.

Cloud computing växer upp, en API på en gång

Google köper Apigee för $ 625.000.000

Raspberry Pi slår tio miljoner försäljning, firar med “premium” bunt

Adobe reanimates NPAPI Flash för Linux efter fyra års stasis