Suchen

SSL-Schwachstelle in iOS und Mac OS X Apple stopft SSL-Sicherheitslücke für iOS, Mac OS X bleibt verwundbar

Autor / Redakteur: Harry Jacob / Peter Schmitz

Am Freitag stellte Apple mehrere Sicherheitsupdates für iOS-Geräte und die Apple-TV-Plattform bereit. Am Samstag kam dann heraus: Das Sicherheitsloch bei der SSL-Implementierung betrifft auch das Desktop-Betriebssystem OSX 10.9 – doch dafür hat Apple noch keine Lösung!

Firmen zum Thema

iPhone und iPad sind sicher nach den Updates, aber für iMac und Macbook unter OSX Mavericks (10.9) gibt es noch keinen Patch für den SSL-Bug.
iPhone und iPad sind sicher nach den Updates, aber für iMac und Macbook unter OSX Mavericks (10.9) gibt es noch keinen Patch für den SSL-Bug.
(Bild: Apple)

Kleine Ursache, große Wirkung: Apple hat in seiner SSL-Implementierung übersehen, dass eine Codezeile mit dem Befehl „goto fail;“ zweimal hintereinander steht. Dadurch wird die Überprüfung des sicheren Connects bei der Verwendung der Diffie-Hellman-Verschlüsselung (DHE) sowie der Variante Elliptic curve Diffie-Hellman (ECDHE) ausgehebelt und stets eine sichere Verbindung konstatiert, auch wenn in Wirklichkeit die Signatur ungültig ist.

Mit einem relativ unscheinbaren Hinweis auf seine Sicherheits-Updates hat Apple am vergangenen Freitag die Lücke publik gemacht. Auf der deutschsprachigen Website „Apple-Sicherheitsupdates“ sind die Patches derzeit noch nicht zu finden, sondern nur auf der englischsprachigen Variante „Apple security updates“. Hier finden sich Links zu den Updates für iOS 6 (iPhone 3GS, iPod Touch der 4. Generation), für iOS 7 (iPhone ab Version 4, iPod Touch der 5. Generation, iPad ab Version 2) und für Apple TV 6 (für das Apple TV ab der 2. Generation).

Dieser unscheinbare Doppler ist die Ursache des Sicherheitsloches. Der Code, Teil des Betriebssystems OSX 10.9 (Mavericks), wurde von Apple selbst im Oktober 2013 veröffentlicht.
Dieser unscheinbare Doppler ist die Ursache des Sicherheitsloches. Der Code, Teil des Betriebssystems OSX 10.9 (Mavericks), wurde von Apple selbst im Oktober 2013 veröffentlicht.
(Apple)

Tief ins System integriert

Die betroffene SSL-Implementierung wird in erster Linie vom Apple-eigenen Safari-Browser genutzt. Doch auch andere Systemfunktionen greifen darauf zu, zum Beispiel die Absicherung der Update-Funktionen im App-Store, die Twitter-Einbindung, der E-Mail-Austausch, der Kalender und einiges mehr. Alle diese Funktionen sind nun möglicherweise kompromittiert.

Aufgrund der öffentlichen Debatte sollten die Anwender schnell auf die Sicherheitsprobleme aufmerksam geworden sein und insbesondere die betroffenen Smartphones und Tablets zügig upgedatet haben. Auch für die Apple-TV-Konsole gibt es ein Update.

(ID:42548704)

Über den Autor

 Harry Jacob

Harry Jacob

Freier Journalist, Textbüro Jacob