Apple Mail: Unbefugte können E-Mails mitlesen

Fehler tritt bei der Einrichtung neuer E-Mail-Konten auf. Die E-Mail-Software Mail von Mac OS X weist ein Sicherheitsproblem auf. Unter Umständen kann es passieren, dass Unbefugte vertrauliche E-Mail-Inhalte mitlesen können. Grund dafür ist ein Fehler im Einrichtungsassistenten der Software.

13. Januar 2010 um 14:32 Uhr / Ingo Pakalski

76 Kommentare News folgen (öffnet im neuen Fenster)

Der Fehler tritt bei der Einrichtung eines neuen E-Mail-Kontos auf. Wenn der Absendername ein @-Zeichen enthält, das von Leerzeichen umschlossen ist, gibt es auf einmal zwei verschiedene Absenderadressen, berichtet das Blog Macbug.de(öffnet im neuen Fenster) . Eine der Absenderadressen ist dann eine Mobileme-Adresse. Wenn diese von einem anderen Nutzer bereits verwendet wird, kann dieser vertrauliche Informationen erhalten, die nicht für ihn bestimmt sind.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Informationssicherheitsmanager:in (d/m/w) Hochschule Bonn-Rhein-Sieg, Sankt Augustin (öffnet im neuen Fenster)

Informationssicherheitsbeauftragter (m/w/d) (ISB) Stadtwerke Offenbach Holding GmbH, Offenbach am Main (öffnet im neuen Fenster)

KI & Cloud Expert*in VDI GmbH, Düsseldorf (öffnet im neuen Fenster)

IT-Produktionsplaner (m/w/d)* Batch-Betrieb Hallesche Krankenversicherung a. G., Stuttgart (öffnet im neuen Fenster)

Leitung der Geschäftsstelle für die Umsetzungsorganisation des Nationalen Once-Only-Technical System (NOOTS) (m/w/d) Föderale IT-Kooperation (FITKO), Frankfurt (öffnet im neuen Fenster)

Firewall- und Netzwerkadministrator*in (m/w/d) Continum AG, Freiburg (öffnet im neuen Fenster)

Mitarbeiterin / Mitarbeiter (w/m/d) »Softwareentwicklung" Bundeskriminalamt, Berlin (öffnet im neuen Fenster)

Data Engineer mit Schwerpunkt AI & Power BI (m/w/d) IBC SOLAR AG, Bad Staffelstein (öffnet im neuen Fenster)

Wird in Mail bei der Erstellung eines neuen Kontos als Absendername zum Beispiel "buchhaltung @ irgendwas.de" eingetragen, legt die E-Mail-Software ungefragt eine zweite Absenderadresse an, die in dem Fall buchhaltung@me.com lautet. Antwortet ein Empfänger einer solchen E-Mail nun allen Absendern, erhält der rechtmäßige Besitzer des Mobileme-Postfachs buchhaltung eine Kopie der entsprechenden E-Mail, die vertrauliche Informationen enthalten kann.

Der Fehler tritt nicht auf, wenn der Empfänger nur dem Adressaten antwortet, der ganz normal im Postfach von Mail eingetragen ist. Immerhin kann der Fehler beim E-Mail-Empfang bemerkt werden, weil die zusätzliche Adresse nicht im BCC-Feld eingetragen wird. Ein Blick auf die Empfangsadressen genügt also, um zu prüfen, ob das Problem auftritt. Beim Versand wird die Mobileme-Adresse hingegen nicht in Mail aufgeführt.

Der Fehler tritt nur auf, wenn ein E-Mail-Konto neu eingerichtet wird. Das nachträgliche Hinzufügen eines @-Zeichens mit zwei Leerzeichen im Absendernamen hat keine negativen Auswirkungen. Der Fehler wurde bisher für Mac OS X 10.6.2 bestätigt, möglicherweise sind aber auch frühere Mac-OS-X-Versionen betroffen.

Zur Startseite 76 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Apple korrigiert aktiv ausgenutzte DNS-Lücke unter MacOS X

Sicherheitsupdate 2009-004 schließt nur eine Lücke. Derzeit vergeht kaum ein Tag ohne Sicherheitspatch. Von Apple kommt jetzt bereits der dritte Patch in kurzer Folge. Nach einem Update für MacOS X und dem Safari-Patch ist jetzt erneut das Betriebssystem dran. BIND hat eine Schwachstelle, die bereits ausgenutzt wird.

Relevante Themen