Die SSL Sicherheitslücke bei Apple, die mit dem Update auf iOS 7.0.6 und iOS 6.1.6 behoben wurde, ist deutlich schlimmer als gedacht. Denn obwohl Apple mit iOS 7.0.6 und iOS 6.1.6 sich dem SSL Problem annimmt ist Mac OS X zum aktuellen Zeitpunkt weiterhin angreifbar. Das Problem: „Sichere Verbindungen“ per SSL wie zum Beispiel für Online Banking und ähnliches genutzt sind bis iOS 7.0.5 nicht sicher und können kompromittiert werden. Deutlich schlimmer als dieser SSL Alptraum, den Apple mit iOS 7.0.6 behoben hat: für Mac OS X sind zum aktuellen Zeitpunkt KEINE verlässlichen sicheren Verbindungen mit SSL möglich!
Online Banking ohne sichere Verbindung ist der Horror, noch schlimmer ist jedoch wenn man davon ausgeht eine sichere Verbindung zu nutzen und dennoch Man in the Middle Attacken möglich sind. Der SSL Bug in iOS und OS X zeigt genau dieses Problem – ein falsch gesetztes gotofail; im Code wird IMMER aufgerufen und öffnet somit für den Angreifer Tür und Tor! Apple scheint diesen schweren SSL Fehler mit iOS 6 bzw. OS X Mavericks 10.9 eingeführt zu haben.
Was kann man gegen diese Schwachstelle tun? Während für iPhone, iPad und iPod entsprechende Updates mit iOS 7.0.6 und iOS 6.1.6 bereitstehen, die ihr UNBEDINGT durchführen solltet, steht für Mac OS X zum aktuellen Zeitpunkt keinerlei Abhilfe bereit. Jedoch gibt es einen inoffiziellen Patch für OS X von Stefan Esser aka i0n1c – wir hoffen jedoch, dass Apple schnellstmöglich durch ein Mac OS X Update diesen Fehler auch im Mac Betriebssystem korrigiert. Also nochmals: UNBEDINGT AUF iOS 7.0.6 bzw. iOS 6.1.6 updaten! Ein entsprechender iOS 7 Jailbreak kann mit evasi0n 1.0.6 durchgeführt werden (Achtung: für Jailbreak NICHT über OTA updaten sondern per iTunes!!!)!
Apple SSL Bug Hintergrundinformationen findet ihr auf folgenden Seiten:
- sektioneins von Stefan Esser mit Mac OS X Patch
- Imperialviolet
- gotofail; Test-Seite für SSL Bug
Habt ihr bereits auf iOS 7.0.6 geupdated? Wir sind auf Eure Antworten hier in den Kommentaren sowie auf Facebook, Twitter und Google+ gespannt.
Zurück zur Apple News Übersicht
Was Denkst Du?