Nedávno sa našiel bezpečnostný otvor v najnovšej verzii OS X 10.7.3, pomocou ktorej môže byť užívateľské heslo zapísané do súboru denníka v obyčajnom texte, ak táto osoba používa staršiu staršiu technológiu šifrovania dát FileVault z minulých verzií OS X.

Zatiaľ čo dieru môže byť problém pre určitú skupinu ľudí, ktorí stále používajú starší šifrovací systém, existuje niekoľko vecí, ktoré je možné urobiť.

Diera sa stala, keď softvérový inžinier spoločnosti Apple zrejme nechal ladiaci príznak povolený v produkčnej verzii OS X 10.7.3, ktorá umožňovala prihlásenie hesiel pre ľudí, ktorí používajú staršiu schému šifrovania súborov FileVault.

Staršia technológia FileVault v operačnom systéme OS X zašifrovala domovský priečinok používateľa a nechala zvyšok systému nešifrovaný, ale vo verzii Lion operačného systému spoločnosť Apple nahradila súbor FileVault s možnosťou šifrovania s plným diskom nazvaným "FileVault 2." Z dôvodu kompatibility však spoločnosť Apple stále podporuje pôvodný súbor FileVault, ktorý bol povolený na inovovaných účtoch, aj keď akékoľvek nové povolenie systému FileVault bude vyžadovať použitie FileVault 2.

Tento bezpečnostný otvor nebude mať vplyv na žiadneho používateľa, ktorý si na ňom zakúpil nový systém s Lionom, alebo ktorý naformuloval starý systém a nainštaloval nový Lion. Bezpečnostný otvor bude mať vplyv iba na ľudí, ktorí upgradovali od firmy Snow Leopard, ktorí používali svoje pôvodné nastavenia súborov FileVault a ktoré potom upgradovali na najnovšiu verziu OS X 10.7.3. Bez týchto požiadaviek heslá pre používateľské účty nebudú zaznamenané chybou a sú bezpečné.

Ak je váš systém jedným z týchto, potom môžete urobiť niekoľko vecí na vyriešenie tejto chyby:

1. Skontrolujte používanie programu FileVault

   Vo svojom účte prejdite na predvoľby systému "Bezpečnosť a ochrana osobných údajov". Keď to urobíte, zobrazí sa upozornenie s názvom "Používate starú verziu súboru FileVault", ak váš účet používa staršiu technológiu FileVault. Okrem toho môžete prejsť do adresára Macintosh HD> Používatelia a zistiť, či akékoľvek domáce adresáre pre účty iné než vaše vlastné vyzerajú ako obrazové súbory disku (na rozdiel od priečinkov). Týmto sa dozviete, ktoré účty v systéme používajú staršiu technológiu FileVault.

2. Zakázať alebo aktualizovať súbor FileVault

   Ak niektorý z účtov používa pôvodný súbor FileVault, môžete ho vypnúť. Ak to chcete urobiť, prihláste sa do účtu a prejdite na predvoľby systému zabezpečenia a potom kliknite na možnosť vypnúť súbor FileVault.

   
   Okrem vypnutia funkcie FileVault môžete znova povoliť zapnutie novej schémy šifrovania FileVault 2 spoločnosti Apple, ktorá nie je touto chybou ovplyvnená. Súbor FileVault 2 je tiež stabilnejší a bezpečnejší ako pôvodný súbor FileVault.

   Súbor FileVault 2 môžete povoliť v systéme so zapnutým súborom FileVault pre konkrétne používateľské účty. toto však nebude poskytovať úplnú ochranu pred touto chybou. Zatiaľ čo umožňuje súbor FileVault 2 zabrániť prístupu k prihláseným heslám z externých zdrojov (napríklad zavedenie systému do režimu Target Disk alebo odstránenie pevného disku), nebráni tomu inému administrátorovi v systéme v prístupe k systémovým denníkom a čítaní hesla,

3. Zmeň si heslo

   Posledný krok po zabezpečení vášho systému, a to buď vypnutím pôvodného súboru FileVault alebo voliteľným aktivovaním súboru FileVault 2, je zmeniť heslo. Zatiaľ čo si môžete vyskúšať čistenie systémových denníkov pre inštancie starého hesla a ich odstránenie, najjednoduchšou voľbou je jednoducho zmeniť heslo.

   Ďalším prístupom k tomu je jednoducho vyčistiť všetky protokoly systému, pretože protokoly sú dočasné súbory, ktoré sa nahradia pri používaní systému a ktoré nie sú potrebné na spustenie systému. Ak to chcete urobiť, otvorte nástroj Terminal (v priečinku / Applications / Utilities / Folder / Utilities / Folder) a spustite nasledujúce dva príkazy:

   sudo rm -rf / var / log / *

   sudo rm -rf / Knižnica / denníky / *

   Tento prístup vymaže všetky záznamy v systéme, čo sa v niektorých prípadoch nemusí požadovať. Preto môžete konkrétnejšie odstrániť prípady súboru "secure.log", ktorý obsahuje heslá, a to spúšťaním nasledujúcich príkazov:

   sudo rm -rf /var/log/secure.log

   sudo rm -rf /var/log/secure.log.*

   Tieto kroky sú tiež podmienkovo ​​nepovinné. Ak ste povolili súbor FileVault 2 nahradiť staršiu verziu a ste jediným administrátorom vášho počítača, potom nie je potrebné meniť heslo, pretože všetky súbory, ktoré sú v ňom obsiahnuté (aj tie, ktoré ukladajú heslá ako obyčajný text) budú šifrované keď vypnete systém.

Dúfame, že spoločnosť Apple bezodkladne rieši tento problém aktualizáciou zabezpečenia, ktorá obidve uzavrie bezpečnostný otvor z ladiaceho kódu a tiež odstráni súbory denníka, ktoré obsahujú inštancie používateľských hesiel.