SSL-Schwachstelle in iOS und Mac OS X

Apple stopft SSL-Sicherheitslücke für iOS, Mac OS X bleibt verwundbar

| Autor / Redakteur: Harry Jacob / Peter Schmitz

iPhone und iPad sind sicher nach den Updates, aber für iMac und Macbook unter OSX Mavericks (10.9) gibt es noch keinen Patch für den SSL-Bug.
iPhone und iPad sind sicher nach den Updates, aber für iMac und Macbook unter OSX Mavericks (10.9) gibt es noch keinen Patch für den SSL-Bug. (Bild: Apple)

Am Freitag stellte Apple mehrere Sicherheitsupdates für iOS-Geräte und die Apple-TV-Plattform bereit. Am Samstag kam dann heraus: Das Sicherheitsloch bei der SSL-Implementierung betrifft auch das Desktop-Betriebssystem OSX 10.9 – doch dafür hat Apple noch keine Lösung!

Kleine Ursache, große Wirkung: Apple hat in seiner SSL-Implementierung übersehen, dass eine Codezeile mit dem Befehl „goto fail;“ zweimal hintereinander steht. Dadurch wird die Überprüfung des sicheren Connects bei der Verwendung der Diffie-Hellman-Verschlüsselung (DHE) sowie der Variante Elliptic curve Diffie-Hellman (ECDHE) ausgehebelt und stets eine sichere Verbindung konstatiert, auch wenn in Wirklichkeit die Signatur ungültig ist.

Mit einem relativ unscheinbaren Hinweis auf seine Sicherheits-Updates hat Apple am vergangenen Freitag die Lücke publik gemacht. Auf der deutschsprachigen Website „Apple-Sicherheitsupdates“ sind die Patches derzeit noch nicht zu finden, sondern nur auf der englischsprachigen Variante „Apple security updates“. Hier finden sich Links zu den Updates für iOS 6 (iPhone 3GS, iPod Touch der 4. Generation), für iOS 7 (iPhone ab Version 4, iPod Touch der 5. Generation, iPad ab Version 2) und für Apple TV 6 (für das Apple TV ab der 2. Generation).

Dieser unscheinbare Doppler ist die Ursache des Sicherheitsloches. Der Code, Teil des Betriebssystems OSX 10.9 (Mavericks), wurde von Apple selbst im Oktober 2013 veröffentlicht.
Dieser unscheinbare Doppler ist die Ursache des Sicherheitsloches. Der Code, Teil des Betriebssystems OSX 10.9 (Mavericks), wurde von Apple selbst im Oktober 2013 veröffentlicht. (Apple)

Tief ins System integriert

Die betroffene SSL-Implementierung wird in erster Linie vom Apple-eigenen Safari-Browser genutzt. Doch auch andere Systemfunktionen greifen darauf zu, zum Beispiel die Absicherung der Update-Funktionen im App-Store, die Twitter-Einbindung, der E-Mail-Austausch, der Kalender und einiges mehr. Alle diese Funktionen sind nun möglicherweise kompromittiert.

Aufgrund der öffentlichen Debatte sollten die Anwender schnell auf die Sicherheitsprobleme aufmerksam geworden sein und insbesondere die betroffenen Smartphones und Tablets zügig upgedatet haben. Auch für die Apple-TV-Konsole gibt es ein Update.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42548704 / Betriebssystem)