Apple schließt gravierende SSL-Lücke nun auch in Mac OS

BetriebssystemSicherheitSicherheitsmanagementWorkspace
apple-logo-schwarz (Bild: Apple)

Um den gleichen Fehler in iOS hat sich der Hersteller schon vor einigen Tagen gekümmert. Nun behebt ihn das Update 10.9.2 auch bei OS X Mavericks. Sicherheitsexperten kritisieren die verzögerte Auslieferung des Patches für die SSL-Lücke im Desktop-Betriebssystem.

Apple hat die seit einigen Tagen bekannte, als “Goto fail” bezeichnete SSL-Lücke nun auch in Mac OS X Mavericks behoben. Das dazu ausgelieferte Update 10.9.2. enthält auch einige weitere Aktualisierungen. Während Apple in iOS die inzwischen als “Goto fail”-Lücke titulierte Schwachstelle schon vor einigen Tage beseitigte, mussten Mac-Nutzer damit leben, dass Angreifer Daten kompromittieren oder verändern konnten, weil die Echtheit einer verschlüsselten Verbindung nicht überprüft wurde.

apple-logo-schwarz

Der Hersteller erwähnt den Fix nur knapp in in einem Abschnitt zur Datensicherheit von OS X Mavericks 10.9 und 10.9.1. Ein Angreifer war demnach in der Lage, Daten abzufangen oder zu ändern, obwohl wenn die Verbindung eigentlich durch SSL/TLS hätte geschützt sein sollen. Das Problem sei behoben worden, indem die fehlenden Schritte zur Überprüfung eingeführt wurden.

Die Lücke steckt in der von Apple modifizierten Implementierung des Sicherheitsstandards SSL/TLS. Sie betraf Daten, die mit Safari, Mail, iCloud oder anderen Anwendungen Apples übertragen wurden, auch wenn die Verbindung als sicher verschlüsselt galt. Anwendungen, die sich nicht auf Apples Implementierung verließen – zum Beispiel Googles Chrome oder Firefox – waren dagegen nicht betroffen.

Die Schwachstelle wurde unter dem Namen “Goto fail”-Lücke bekannt, weil Apples Programmcode einen simplen, aber schwerwiegenden Fehler aufwies. Die Sprunganweisung “Goto fail” wurde an einer Stelle versehentlich doppelt eingefügt – was die vorgesehene Überprüfung der digitalen Signatur verhindert. Dadurch wurden Man-in-the-Middle-Angriffe mit weitreichenden Folgen möglich, wie Sicherheitsforscher Aldo Cortesi demonstriert hat.

“Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates”, berichtete Cortesi. Sicherheitsforscher kritisieren daher auch die verzögerte Auslieferung des Updates. “Wer immer sich bei Apple entschied, über vier Tage mit 10.9.2 zu warten, um die Schwachstelle in OS X zu beheben, ist eine Fehlbesetzung in dieser Position”, schimpft zum Beispiel CryptoSeal-Gründer Ryan Lackey.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen