Apple hat schwerwiegende Sicherheitslücke in iOS behoben, OS X immer noch gefährdet

Gestern Abend veröffentlichte Apple ein scheinbar kleines Software-Update für iOS. Erstaunlich war schon, dass auch ältere Geräte, wie zum Beispiel das iPhone 3GS noch ein Update erhalten haben, obwohl diese mit iOS 6 laufen. Für Apple TV stand ebenfalls ein Update bereit. Der Changelog sagte nicht viel aus, es wurde kurz und knapp erwähnt, dass ein Problem bei der Überprüfung von SSL-Zertifikaten behoben wurde. Wie es den Anschein hat, ist dies ein sehr schwerwiegendes Problem, welches auch Mac-Nutzer betrifft. Die Sicherheitslücke ist auch in OS X 10.9.1 vorhanden und kann dafür sorgen, dass Informationen zwischen betroffenen Browsern und SSL-geschützten Seiten abgefangen werden können.

Der Bug ist in OS X aktuell noch vorhanden, ein Update seitens Apple steht noch aus. Der OS X 10.9.2 Developer Build ist ebenfalls noch von der Lücke betroffen. Adam Langley, Softwareentwickler bei Google, beschreibt das Problem auf seinem Blog. Er hat auch eine Testseite eingerichtet. Ruft man die Seite über Port 443 auf, ist alles in Ordnung und die Seite lädt (HTTPS-Link zur Seite). Über Port 1266 werden die gleichen SSL-Zertifikate ausgegeben, die allerdings mit völlig anderen Schlüsseln signiert sind. Ruft man die Seite auf und bekommt sie angezeigt, ist man von der Lücke betroffen (HTTPS-Link). Wenn Ihr also keine Seite unter dem zweiten Link angezeigt bekommt, seid Ihr sicher (vermutlich nutzt Ihr dann kein OS X oder keinen Safari-Browser).

Apple äußerte sich bisher nicht zu dieser Lücke, so ist auch weiterhin unklar, wann mit einer Behebung zu rechnen ist. Apple wäre aber gut beraten, schnell zu reagieren. Jetzt, da die Lücke bekannt ist, werden auch die bösen Buben nicht lange brauchen, um diese auszunutzen. Passt also auf, wo Ihr mit Eurem Mac entlang surft, es ist nicht auszuschließen, dass Euch auf einer präparierten Seite etwas untergeschoben wird.