Apple schließt gravierende SSL-Lücke nun auch in Mac OS
Apple hat die seit einigen Tagen bekannte, als “Goto fail” bezeichnete SSL-Lücke nun auch in Mac OS X Mavericks behoben. Das dazu ausgelieferte Update 10.9.2. enthält auch einige weitere Aktualisierungen. Während Apple in iOS die inzwischen als “Goto fail”-Lücke titulierte Schwachstelle schon vor einigen Tage beseitigte, mussten Mac-Nutzer damit leben, dass Angreifer Daten kompromittieren oder verändern konnten, weil die Echtheit einer verschlüsselten Verbindung nicht überprüft wurde.
Der Hersteller erwähnt den Fix nur knapp in in einem Abschnitt zur Datensicherheit von OS X Mavericks 10.9 und 10.9.1. Ein Angreifer war demnach in der Lage, Daten abzufangen oder zu ändern, obwohl wenn die Verbindung eigentlich durch SSL/TLS hätte geschützt sein sollen. Das Problem sei behoben worden, indem die fehlenden Schritte zur Überprüfung eingeführt wurden.
Die Lücke steckt in der von Apple modifizierten Implementierung des Sicherheitsstandards SSL/TLS. Sie betraf Daten, die mit Safari, Mail, iCloud oder anderen Anwendungen Apples übertragen wurden, auch wenn die Verbindung als sicher verschlüsselt galt. Anwendungen, die sich nicht auf Apples Implementierung verließen – zum Beispiel Googles Chrome oder Firefox – waren dagegen nicht betroffen.
Die Schwachstelle wurde unter dem Namen “Goto fail”-Lücke bekannt, weil Apples Programmcode einen simplen, aber schwerwiegenden Fehler aufwies. Die Sprunganweisung “Goto fail” wurde an einer Stelle versehentlich doppelt eingefügt – was die vorgesehene Überprüfung der digitalen Signatur verhindert. Dadurch wurden Man-in-the-Middle-Angriffe mit weitreichenden Folgen möglich, wie Sicherheitsforscher Aldo Cortesi demonstriert hat.
“Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates”, berichtete Cortesi. Sicherheitsforscher kritisieren daher auch die verzögerte Auslieferung des Updates. “Wer immer sich bei Apple entschied, über vier Tage mit 10.9.2 zu warten, um die Schwachstelle in OS X zu beheben, ist eine Fehlbesetzung in dieser Position”, schimpft zum Beispiel CryptoSeal-Gründer Ryan Lackey.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de