SSL-Bug: Apples Sicherheitslücke gravierender als angenommen

Am Freitagabend hat Apple ein Update für sein mobiles Betriebssystem iOS veröffentlicht. Die Installation von iOS 7.0.6 und iOS 6.1.6 wird dabei zwingend empfohlen.

SSL FehlerEine verschlüsselte SSL-Verbindung sollte eigentlich sicher sein und keinen Zugriff auf die übertragenen Daten bieten, die über das Internet von A nach B übertragen werden. Ein klitzekleiner Fehler im Quelltext bietet jedoch ein Einfallstor für Hacker, die im Zweifel einen Blick in die verschlüsselten Daten werfen können. Das könntenPasswörter oder sensible Daten aus dem Online-Banking sein.

Mit iOS 7.0.6 und iOS 6.1.6 hat Apple genau diese Sicherheitslücke geschlossen – eine Installation wird daher dringend empfohlen. Vor allem dann, wenn man sich viel in öffentlichen Netzwerken aufhält, in denen sich auch potentielle Hacker herumtreiben. Auch wenn die Gefahr für den Einzelnen ohne Zweifel gering ist, sollte Vorsicht geboten sein.

Betroffen sind nämlich auch Mac-Nutzer, wie Apple kürzlich bekannt gegeben hat. „Wir kennen das Problem und arbeiten bereits an einem Software-Fix, den wir sehr bald veröffentlichen“, sagte eine Apple-Sprecherin der Nachrichtenagentur Reuters. Von der Sicherheitslücke ist natürlich der Safari-Browser betroffen, aber auch andere Apps, die auf die Apple-Schnittstelle zugreifen. Sicher unterwegs ist man dagegen mit Firefox oder Chrome. Ob der eigene Browser betroffen ist, kann man auf dieser Webseite herausfinden.

Der Fehler liegt in Zeile 1970 dieser Quelltext-Datei, in der Apple den Sprungbefehl „goto fail“ gleich doppelt aufruft. Was genau dabei zu der schwerwiegenden Lücke führt, hat Google-Mitarbeiter Adam Langley auf seiner Webseite erklärt.

Wir halten fest: Die Welt geht durch Apples Fehler sicherlich nicht unter, trotzdem sollte man auf dem Mac bis zur Veröffentlichung des Software-Updates in öffentlichen Netzwerken Vorsicht walten lassen. Ebenso ist davon auszugehen, dass die aktuelle Beta-Version von iOS 7.1 noch nicht mit dem Sicherheitsupdate versorgt wurde.

 

Kommentare 17 Antworten

  1. Es gab keine Angaben darüber, ob die Lücke ausgenutzt wurde. Die gesicherte Kommunikation über SSL stand laut Unterlagen des Informanten Edward Snowden auch im Visier des US-Geheimdienst NSA.

  2. Liebes Appgefahren-Team,

    Aufwachen!! Ich weiss, ihr seid sehr pro Apple eingestellt. Grds. Kann ich damit sehr gut umgehen. Aber die Verniedlichung geht hier eindeutig zu weit. Natürlich ist jeder einzelne betroffen und zwar massiv. Die Sicherheitslücke kann ohne starke Hackerkenntnisse genutzt werden! Wenn meine Kontodaten oder Kreditkarteninfirmationen abgegriffen werden und jemand dies nutzt, um Geld zu entwenden, ist das für mich schlimm!

    Ihr müsst aus meiner Sicht mal unbedingt zugestehen: Apple baut genauso viel Mist wie andere Hersteller auch! Und manchmal ist dieser Mist sogar sehr groß. Es hilft uns als leser nicht weiter, wenn alles, was apple macht positiv oder Fehler verniedlichend dargestellt wird. Uns ist vielmehr geholfen, wenn Ihr objektiv rangeht. Dann können wir die zweifelslos vielen guten Dinge, die Apple zustande bringt, auch viel besser würdigen und müssen uns nicht immer fragen, kb ihr etwas nur deshalb toll findet, weil es von Apple kommt und in Wirklichkeit ist es mist!!!

    1. Außerdem stimmt es nicht, dass der behobene Fehler größer war als bisher angenommen. Direkt nach der Veröffentlichung von 7.0.6 habe ich auf diversen Blogs vom SSL-Fehler gelesen, während hier erst heute darüber berichtet wird.

    2. Wie recht du hast 🙂

      ich sag immer, ich bin pro Apple weil es einfach weniger schlecht ist. Das perfekte os gibt es einfach nicht und wird es nie geben.

  3. „Gefahr für den Einzelnen gering“ und „Welt geht nicht unter“? Habt ihr die Tragweite des (sehr dummen Anfänger-)Fehlers wirklich noch nicht begriffen? Lasst die Verharmlosungen bleiben – das, was der Code ermöglicht, ist heftigst und so gravierend, wie es in den letzten Jahren wohl kaum ne Sicherheitslücke (egal, wo) war.

  4. Ich traue diesem Tool auf der Webseite (gotofail . com) nicht so sehr. Das ließt doch nur die Browser-ID aus. Sobald ich via Safari vorgaukle ich nutze Firefox, IE oder Chrome bin ich plötzlich „save“. Klar…

  5. Ist diese Lücke nicht toll?
    Nun werden endlich auch alle Geräte das neueste iOS aufgezwungen. Wer nämlich bei iOS 6 bleibt, „hat selbst schuld“, wenn sein Gerät betroffen ist

  6. Für IOS 6 gab es auch ein Patch.

    Viel schlimmer finde ich, dass es die Lücke auch schon in IOS 6 gab, da stellt sich mir die Frage: „Wie lange gibt es die Lücke schon?“

  7. … und der gleiche „Fehler“ (doppelte Codezeile), der Unbefugten (wie der NSA) Systemzugriffe ermöglicht, ist in iOS 6 UND OS X passiert!?!

    Zufälle gibt’s…

  8. So ein quatsch.
    Ein doppelter Aufruf goto fail führt nicht zu einer schwachen Prüfung, sondern, dass jegliche Prüfung fehlschlägt – es dürften doch dann keine Seite mehr als okay gemeldet werden!?

    Ich nehme alles zurück… Wenn natürlich der err keinen Fehler enthält….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Copyright © 2019 appgefahren.de