> > > > SSL-Bug: Apple verspricht schnelles Update für Mac OS X

SSL-Bug: Apple verspricht schnelles Update für Mac OS X

Veröffentlicht am: von

osx-mavericksIn der vergangenen Woche rollte Apple ein neues Wartungsupdate für sein mobiles Betriebssystem iOS aus und stopfte eine schwerwiegende Sicherheitslücke, bei der Angreifer mittels einer Man-in-the-Middle-Attacke die eigentlich verschlüsselte SSL-Verbindung abfangen und umleiten konnten. Das Update wurde nicht nur für iOS 7 veröffentlicht, sondern auch für Geräte, die das aktuelle Smartphone-Betriebssystem nicht unterstützen und für die somit iOS 6 noch aktuell ist. Apple hievt die Version auf iOS 7.0.6 bzw. iOS 6.1.6. Die Sicherheitslücke soll allerdings nicht nur das mobile Apple-Betriebssystem betreffen. Auch Mac OS X soll betroffen sein.

Die Schwachstelle ist in Apples SSL/TLS-Implementierung zu finden. Bei der Überprüfung der Signatur von SSL-Zertifikaten sollen offenbar auch Zertifikate akzeptiert werden, die eigentlich zum angesteuerten Server nicht passen. Aufgrund eines im Quellcode doppelten „goto fail“-Befehls im Abschnitt der Signaturprüfung, soll der Prozess immer direkt an das Ende des Vorgangs springen. Die Verschlüsselungsstandards SSL und TLS werden von vielen Webdiensten – vor allem aber von Banken – zur Absicherung der Verbindung genutzt. Betroffen soll allerdings nicht nur Apples eigener Internet-Browser Safari sein, sondern auch Dienste wie Apple Mail, FaceTime, iMessage, Kalender, iBooks oder Twitter. Die Software-Update-Funktion von Mac OS X soll ebenfalls auf die SSL-Implementierung zurückgreifen.

Gegenüber der Nachrichtenagentur Reuters versprach Apple, sobald wie möglich ein Update für Mac OS X 10.9.1 „Mavericks“ nachzuschieben. Bis dahin empfiehlt man, entsprechende Programme nicht in fremden, ungeschützten WLAN- und LAN-Netzwerken zu verwenden. Online-Banking sollte ohnehin nur zu Hause im eigenen Netzwerk betrieben werden. Ein Umstieg auf den Firefox- oder Googles Chrome-Browser schafft zusätzliche Sicherheit. Beide Programme sollen nicht auf Apples SSL/TLS-Implementierung zurückgreifen und somit nicht von der Sicherheitslücke betroffen sein.

Auf der Webseite gotofail.com kann der eigene Mac auf die Sicherheitslücke hin überprüft werden.