Apple: Firmware-Update beseitigt Heartbleed-Bug in AirPort-Basisstationen

Die Aktualisierung liegt für die im Juni 2013 vorgestellten Modelle AirPort Extreme und AirPort Time Capsule mit WLAN 802.11ac vor. Das Update schließt die Lücke in der OpenSSL-Bibliothek. AirPort-Geräte älteren Datums sind von der Heartbleed-Schwachstelle nicht betroffen.

Das „AirPort Base Station Firmware Update 7.7.3„, das Apple am Dienstag für seinen WLAN-Router AirPort Extreme und die Speicherlösung Airport Time Capsule veröffentlicht hat, schließt die Heartbleed-Lücke in der OpenSSL-Bibliothek. Sie hat es Angreifern erlaubt, eine Man-in-the-Middle-Attacke durchzuführen und Daten abzufangen, wie Apple mitteilt.

AirPort Extreme (Bild: Apple)

AirPort Extreme (Bild: Apple)

Von dem Fehler betroffen sind nur die im Juni 2013 vorgestellten Versionen der AirPort-Basisstationen mit WLAN 802.11ac. Und auch diese sind nur dann anfällig, wenn die Funktionen „Zugang zu meinem Mac“ oder „Diagnose senden“ aktiviert wurden. Besitzer älterer Apple-Router müssen keine neue Firmware einspielen.

Für die Installation des Updates wird das AirPort-Dienstprogramm für Mac (Version 6.3.1) oder iOS (Version 1.3.1) benötigt. Es kann kostenlos von Apples Support-Seite oder aus dem App Store heruntergeladen werden. Eine Schritt-für-Schritt-Anleitung für die Installation findet sich in der Update-Beschreibung.

Die AirPort-Modelle von Apple sind nicht die einzigen Netzwerkgeräte, die die Heartbleed-Lücke aufweisen. Auch Netzwerkprodukte von Cisco und Juniper waren anfällig für den Fehler im SSL-Code.

Der als Heartbleed bekannt gewordene Bug ermöglicht den Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten im Speicher konnten Angreifer möglicherweise kritische Informationen sammeln und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschafften. Der lange ungepatchte Fehler gefährdete zahllose Anwender, da auch Nutzernamen und Passwörter ausgelesen werden konnten.

Obwohl zahlreiche Betreiber ihre Webserver inzwischen aktualisiert und neue Zertifikate eingespielt haben, kann noch keine endgültige Entwarnung gegeben werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte vergangenen Mittwoch, dass weiterer Handlungsbedarf beim Heartbleed-Bug bestehe. Auch wenn die Sicherheitslücke bei vielen betroffenen IT-Systemen und insbesondere Webservern geschlossen sei, seien noch viele Webseiten etwa von kleineren Online-Shops ohne professionellen Update-Prozess durch Angriffe verwundbar. Kritisch sei das deshalb, weil weiterhin großflächige Scans nach Servern registriert werden, die aufgrund der Sicherheitslücke in der Programmerweiterung der OpenSSL-Bibliothek verwundbar sind. Da viele Betreiber sich zunächst auf die Aktualisierung der Webserver konzentrierten, erfolgten Angriffe jetzt zunehmend auf andere Systeme, die OpenSSL einsetzen. Das BSI empfiehlt daher, auch E-Mail-Server, Server für Video- und Telefonkonferenzen sowie weitere von außen erreichbare Server zu überprüfen. Die Empfehlung gilt auch für Sicherheitskomponenten wie Firewalls, die OpenSSL einsetzen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Apple: Firmware-Update beseitigt Heartbleed-Bug in AirPort-Basisstationen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *