SSL-Schwachstelle in iOS und Mac OS X

Apple stopft SSL-Sicherheitslücke für iOS, Mac OS X bleibt verwundbar

Seite: 2/2

Firmen zum Thema

Jeder kennt das Sicherheitsloch...

Offen wie ein Scheunentor dagegen ist das Desktop-Betriebssystem Mavericks – OSX 10.9 ist ebenso betroffen wie das aktuelle Release OSX 10.9.1. Apple hat es versäumt, zeitgleich mit den iOS- und Apple-TV-Patches auch OSX abzusichern. So gibt es derzeit eine ernsthafte Sicherheitsbedrohung, die weltweit bekannt ist – aber keinen echten Schutz.

Apple hat lediglich versichert, es werde „sehr bald“ eine Lösung geben. Bis dahin sollten die Anwender unsichere LAN- und WLAN-Verbindungen meiden, die einen Man-in-the-Middle-Angriff ermöglichen könnten. Beim Browsen solle man bis auf weiteres Safari meiden und stattdessen auf Firefox oder Chrome ausweichen, da diese Browser eigene SSL-Implementierungen mitbringen und nicht auf die Routinen des Betriebssystems setzen.

...doch die Lösung dauert

Sicherheitsforscher Stefan Esser von Sektioneins wies im Gespräch mit dem Magazin Mac & i darauf hin, dass auch eine einzige Code-Zeile, die entfernt werden muss, eine Neukompilierung und einen umfangreichen Testzyklus nach sich zieht. Dabei wird der neue Code auf Kompatibiität mit unterschiedlicher Hardware geprüft.

Andererseits hat Apple einen CVE-Eintrag bezüglich der SSL-Implementierung bereits am 8. Januar erstellt. Demnach arbeitet der Hersteller bereits seit sechs Wochen an diesem Problem. Warum nun die iOS-Updates bereitgestellt wurden und die massive Sicherheitslücke damit öffentlich wurde bevor der OSX-Patch fertig war, wird wohl ein Geheimnis von Apple bleiben.

Offen ist ebenso, wie lange die Lücke schon existiert. Denn iOS 6 wurde bereits im September 2012 veröffentlicht. Ob die Lücke bereits im ersten Release enthalten war oder mit einem späteren Update ins System gelangte, ist ebenfalls nicht bekannt. iOS 7, das seit 18. September 2013 verfügbar ist, darf von Anfang an als betroffen gelten.

Umgekehrt sind alle OSX-Versionen vor 10.9 nicht per se betroffen, möglicherweise aber einzelne Funktionen. So wurde heute beispielsweise ein Update der Mac-App-Store-Anwendung für OSX 10.8 bereitgestellt.

(ID:42548704)

Über den Autor

 Harry Jacob

Harry Jacob

Freier Journalist, Textbüro Jacob