Apple: „Goto fail“-Lücke jetzt nach iOS 7 auch in Mac OS X Mavericks gestopft

Die kritische SSL-Lücke in Mavericks wird durch das Update 10.9.2 beseitigt. Eine Aktualisierung für iOS kam von Apple schon über vier Tage früher. Bei Sicherheitsforschern stößt die verspätete Nachbesserung auf wenig Verständnis.

Mit Verspätung hat Apple nun auch in seinem Desktop-Betriebssystem Mac OS X Mavericks eine kritische SSL-Lücke durch ein Update geschlossen, das auch eine Reihe weiterer Aktualisierungen enthält. Während es in seinem Mobilbetriebssystem iOS 7 die inzwischen als „Goto fail“-Lücke bekannte Schwachstelle schon mehrere Tage früher beseitigte, blieben Millionen von Mac-Nutzern zunächst weiterhin der Gefahr ausgesetzt, dass Angreifer Daten kompromittieren oder verändern konnten, weil die Echtheit einer verschlüsselten Verbindung nicht überprüft wurde.

Der iPhone-Hersteller erwähnte den Fix nur knapp in in einem Abschnitt zur Datensicherheit von OS X Mavericks 10.9 und 10.9.1. Ein Angreifer war demnach in der Lage, Daten abzufangen oder zu ändern, auch wenn eine Verbindung eigentlich durch SSL/TLS geschützt sein sollte. Das Problem sei behoben worden, indem die fehlenden Schritte zur Überprüfung wiederhergestellt wurden.

Folgenreich wiederholtes "Goto fail" in Apples Quellcode

Folgenreich wiederholtes „Goto fail“ in Apples Quellcode

 

Sicherheitsforscher hatten wenig Verständnis für die verzögerte Sicherheitsaktualisierung. „Wer immer sich bei Apple entschied, über vier Tage mit 10.9.2 zu warten, um die Schwachstelle in OS X zu beheben, ist eine Fehlbesetzung in dieser Position“, brachte es der langjährige Apple-Nutzer und CryptoSeal-Gründer Ryan Lackey in einem Tweet auf den Punkt. „Apple braucht eine grundlegend veränderte Unternehmenskultur, um sein ‚Goto fail‘ zu beheben“, kommentierte ZDNet.com-Autor Stilgherrian. Er monierte dabei insbesondere, dass wesentliche SSL-Tests schlicht unterlassen wurden.

Als „Goto fail“-Lücke wurde die Schwachstelle bekannt, weil Apples Programmcode einen relativ simplen, aber doch schwerwiegenden Fehler aufwies. Die Sprunganweisung „Goto fail“ wurde an einer Stelle versehentlich doppelt eingefügt – und damit die vorgesehene Überprüfung der digitalen Signatur verhindert. Das ermöglichte Man-in-the-Middle-Angriffe mit weitreichenden Folgen, wie Sicherheitsforscher Aldo Cortesi mit dem modifizierten Tool Mitmproxy demonstrierte. „Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates“, beobachtete er.

Die Lücke entstand aus Apples angepasster Implementation des Sicherheitsstandards SSL/TLS. Sie betraf daher Daten, die mit Safari, Mail, iCloud oder anderen Anwendungen Apples übertragen wurden, auch wenn die Verbindung als sicher verschlüsselt galt. Nicht betroffen waren hingegen Anwendungen, die sich nicht auf Apples Implementation verließen – Googles Chrome und der Mozilla-Browser Firefox etwa wiesen die Schwachstelle nicht auf.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Apple: „Goto fail“-Lücke jetzt nach iOS 7 auch in Mac OS X Mavericks gestopft

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *