Apple hat schwerwiegende Sicherheitslücke in iOS behoben, OS X immer noch gefährdet

Gestern Abend veröffentlichte Apple ein scheinbar kleines Software-Update für iOS. Erstaunlich war schon, dass auch ältere Geräte, wie zum Beispiel das iPhone 3GS noch ein Update erhalten haben, obwohl diese mit iOS 6 laufen. Für Apple TV stand ebenfalls ein Update bereit. Der Changelog sagte nicht viel aus, es wurde kurz und knapp erwähnt, dass ein Problem bei der Überprüfung von SSL-Zertifikaten behoben wurde. Wie es den Anschein hat, ist dies ein sehr schwerwiegendes Problem, welches auch Mac-Nutzer betrifft. Die Sicherheitslücke ist auch in OS X 10.9.1 vorhanden und kann dafür sorgen, dass Informationen zwischen betroffenen Browsern und SSL-geschützten Seiten abgefangen werden können.

OSX_Sicherheit

Der Bug ist in OS X aktuell noch vorhanden, ein Update seitens Apple steht noch aus. Der OS X 10.9.2 Developer Build ist ebenfalls noch von der Lücke betroffen. Adam Langley, Softwareentwickler bei Google, beschreibt das Problem auf seinem Blog. Er hat auch eine Testseite eingerichtet. Ruft man die Seite über Port 443 auf, ist alles in Ordnung und die Seite lädt (HTTPS-Link zur Seite). Über Port 1266 werden die gleichen SSL-Zertifikate ausgegeben, die allerdings mit völlig anderen Schlüsseln signiert sind. Ruft man die Seite auf und bekommt sie angezeigt, ist man von der Lücke betroffen (HTTPS-Link). Wenn Ihr also keine Seite unter dem zweiten Link angezeigt bekommt, seid Ihr sicher (vermutlich nutzt Ihr dann kein OS X oder keinen Safari-Browser).

Apple äußerte sich bisher nicht zu dieser Lücke, so ist auch weiterhin unklar, wann mit einer Behebung zu rechnen ist. Apple wäre aber gut beraten, schnell zu reagieren. Jetzt, da die Lücke bekannt ist, werden auch die bösen Buben nicht lange brauchen, um diese auszunutzen. Passt also auf, wo Ihr mit Eurem Mac entlang surft, es ist nicht auszuschließen, dass Euch auf einer präparierten Seite etwas untergeschoben wird.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Für den Satz mit den bösen Buben, solltest du eine Auszeichnung für den Erhalt der deutschen Sprache bekommen 😉

  2. Wenn bei SSL, das S für Sicherheit nicht geht, ist ja nicht so schlimm …

    will nicht wissen wie lange der Bug schon herumfliegt

  3. Nach dem Update auf iOS 7.0.6 wird der präparierte Link (wie gewünscht) nicht geladen.

  4. iOS? Sicherheitslücken?
    Gibt es per Definitionem nicht. Muss eine Falschmeldung sein.

    Muhahahahaah

  5. Zumindest unter OS X macht Little Snitch darauf aufmerksam und man kann die Verbindung verhindern.

  6. Das ist wohl ein Safari-Problem. Mit Chrome unter 10.9.1 ist alles gut.

  7. Firefox lässt die Verbindung ebenso wenig zu.

  8. Habe es unter OS X 10.8.5 getestet.
    Chrome (33.0) zeigt die Seite nicht an und auch Safari (6.1.1) gibt eine Fehlermeldung, öffnet die Seite also nicht.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.