Apple bestätigt SSL Bug in OS X, Update erscheint in Kürze

| 12:55 Uhr | 4 Kommentare

Kurz vor dem Wochenende hat Apple mit iOS 7.0.6 ein Sicherheitsupdate bereit gestellt, welches sich um eine SSL Sicherheitslücke in iOS kümmert. Wir können euch nur dringend raten, das Update auf iOS 7.0.6 durchzuführen. In den Release-Notes heißt es „Dieses Sicherheitsupdate behebt ein Problem beim Überprüfen der SSL-Verbindung“.

ssl_bug_osx

Mittlerweile wurden ein paar mehr Details zum SSL/TSL Bug bekannt und es zeigt sich, dass auch OS X betroffen ist. Im Bezug auf iOS hat Apple bereits reagiert, nun fehlt noch OS X. Wie Apple gegenüber Reuters bestätigt hat, haben Sicherheitsforscher den selben SSL/TSL Bug auch in OS X gefunden. Ein Update soll in Kürze bereit stehen.

iOS 7.0.6 behebt ein Problem bei der Überprüfung von SSL-Zertifikaten. Angreifern ist es möglich, durch eine fehlerhafte Authentifizierung eure Daten abzugreifen. Das Problem liegt auch in OS X 10.9.1 vor und auch die jüngste OS X 10.9.2 Beta 7 ist noch löchrig.

Wir können nur hoffen, dass Apple schnellstmöglich ein OS X Update nachschiebt. Wir rechnen damit, dass dies spätestens am Montag nachgereicht wird. Ob dies in Form von OS X 10.9.2 der Fall sein wird oder ob Apple ein Zwischen-Update einlegen wird, bleibt abzuwarten.

Der SSL Bug betrifft übrigens unter OS X nur den Safari Browser. Chrome und Firefox setzen anstatt auf SecureTransport auf NSS und sind nicht betroffen. Adam Langley ist Software-Entwickler bei Google und hat sich in seinem Blog zum Sicherheitsproblem geäußert. Gleichzeitig hat er eine kleine Testseite aufgesetzt, mit der ihr erfahrt, ob ihr betroffen seid. Über den Port 433 funktioniert die Seite, so wie es sein soll. Über Port 1266 sendet der Server die gleichen Zertifikate, dieser sind allerdings mit einem komplett anderen Schlüssel versehen.

Kategorie: Mac

Tags: , ,

4 Kommentare

  • Elv

    Wenn man gute Gründe hat bei iOS 6 zu bleiben (Hörbücher in iOS 7 quasi unbenutzbar) kann man die Lücke nicht schließen.

    Zu OSX: Gerade getestet. Safari 6.1.1 unter 10.8.5.

    Your browser aborted loading the test image upon seeing an invalid ServerKeyExchange message. This means your browser is not vulnerable to the bug, however if you’re on an Apple device make sure you test Safari.

    24. Feb 2014 | 6:46 Uhr | Kommentieren
  • Michael

    SSL-Fehler gerade behoben (auch ohne Apple)…

    So geht’s:

    Patch hier runterladen: http://download.suhosin.org/APPLE_SSL_SECURITY_FRAMEWORK_QUICK_AND_DIRTY_64BIT_FIX.bspatch

    Terminal starten und folgendes eingeben:

    cd /System/Library/Frameworks/Security.framework/Versions/A && sudo cp Security Security_bkup && bspatch Security_bkup Security

    Am Ende ein Leerzeichen, dann den runtergeladenen Patch ins Terminalfenster ziehen und Enter drücken.
    Passwort eingeben und Rechner neu starten.

    Auf http://www.gotofail.com prüfen ob der Patch ausgeführt wurde (es sollte eine grüne Meldung mit dem Wort „Safe“ erscheinen).

    24. Feb 2014 | 10:53 Uhr | Kommentieren
  • Skeptiker

    Jeder, der Software entwickelt, kann darüber in 2014 nur noch den Kopf schütteln. Peinlich, lächerlichst, da werden Köpfe rollen (müssen).

    24. Feb 2014 | 17:14 Uhr | Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.