Schwachstelle bei SSL-Implementierung aufgedeckt

Apple kann die SSL-Sicherheitslücke noch nicht vollständig stopfen

| Autor / Redakteur: IT-BUSINESS / Harry Jacob / Harry Jacob

iPhone und iPad sind sicher nach den Updates, aber für iMac und Macbook unter OSX Mavericks (10.9) gibt es noch keinen Patch für den SSL-Bug.
iPhone und iPad sind sicher nach den Updates, aber für iMac und Macbook unter OSX Mavericks (10.9) gibt es noch keinen Patch für den SSL-Bug. (Bild: Apple)

Am Freitag stellte Apple mehrere Sicherheitsupdates für iOS-Geräte und die Apple-TV-Plattform bereit. Am Samstag kam dann heraus: Das Sicherheitsloch bei der SSL-Implementierung betrifft auch das Desktop-Betriebssystem OSX 10.9 – doch dafür hat Apple noch keine Lösung.

Kleine Ursache, große Wirkung: Apple hat in seiner SSL-Implementierung übersehen, dass eine Codezeile mit dem Befehl „goto fail;“ zweimal hintereinander steht. Dadurch wird die Überprüfung des sicheren Connects bei der Verwendung der Diffie-Hellman-Verschlüsselung (DHE) sowie der Variante Elliptic curve Diffie-Hellman (ECDHE) ausgehebelt und stets eine sichere Verbindung konstatiert, auch wenn in Wirklichkeit die Signatur ungültig ist.

Mit einem relativ unscheinbaren Hinweis auf seine Sicherheits-Updates hat Apple am vergangenen Freitag die Lücke publik gemacht. Auf der deutschsprachigen Website „Apple-Sicherheitsupdates“ sind die Patches derzeit noch nicht zu finden, sondern nur auf der englischsprachigen Variante „Apple security updates“. Hier finden sich Links zu den Updates für iOS 6 (iPhone 3GS, iPod Touch der 4. Generation), für iOS 7 (iPhone ab Version 4, iPod Touch der 5. Generation, iPad ab Version 2) und für Apple TV 6 (für das Apple TV ab der 2. Generation).

Dieser unscheinbare Doppler ist die Ursache des Sicherheitsloches. Der Code, Teil des Betriebssystems OSX 10.9 (Mavericks), wurde von Apple selbst im Oktober 2013 veröffentlicht.
Dieser unscheinbare Doppler ist die Ursache des Sicherheitsloches. Der Code, Teil des Betriebssystems OSX 10.9 (Mavericks), wurde von Apple selbst im Oktober 2013 veröffentlicht. (Apple)

Tief ins System integriert

Die betroffene SSL-Implementierung wird in erster Linie vom Apple-eigenen Safari-Browser genutzt. Doch auch andere Systemfunktionen greifen darauf zu, zum Beispiel die Absicherung der Update-Funktionen im App-Store, die Twitter-Einbindung, der E-Mail-Austausch, der Kalender und einiges mehr. Alle diese Funktionen sind nun möglicherweise kompromittiert.

Aufgrund der öffentlichen Debatte sollten die Anwender schnell auf die Sicherheitsprobleme aufmerksam geworden sein und insbesondere die betroffenen Smartphones und Tablets zügig upgedatet haben. Auch für die Apple-TV-Konsole gibt es ein Update.

Jeder kennt das Sicherheitsloch...

Offen wie ein Scheunentor dagegen ist das Desktop-Betriebssystem Mavericks – OSX 10.9 ist ebenso betroffen wie das aktuelle Release OSX 10.9.1. Apple hat es versäumt, zeitgleich mit den iOS- und Apple-TV-Patches auch OSX abzusichern. So gibt es derzeit eine ernsthafte Sicherheitsbedrohung, die weltweit bekannt ist – aber keinen echten Schutz.

Apple hat lediglich versichert, es werde „sehr bald“ eine Lösung geben. Bis dahin sollten die Anwender unsichere LAN- und WLAN-Verbindungen meiden, die einen Man-in-the-Middle-Angriff ermöglichen könnten. Beim Browsen solle man bis auf weiteres Safari meiden und stattdessen auf Firefox oder Chrome ausweichen, da diese Browser eigene SSL-Implementierungen mitbringen und nicht auf die Routinen des Betriebssystems setzen.

...doch die Lösung dauert

Sicherheitsforscher Stefan Esser von Sektioneins wies im Gespräch mit dem Magazin Mac & i darauf hin, dass auch eine einzige Code-Zeile, die entfernt werden muss, eine Neukompilierung und einen umfangreichen Testzyklus nach sich zieht. Dabei wird der neue Code auf Kompatibilität mit unterschiedlicher Hardware geprüft. Andererseits hat Apple einen CVE-Eintrag bezüglich der SSL-Implementierung bereits am 8. Januar erstellt. Demnach arbeitet der Hersteller bereits seit sechs Wochen an diesem Problem. Warum nun die iOS-Updates bereitgestellt wurden und die massive Sicherheitslücke damit öffentlich wurde bevor der OSX-Patch fertig war, wird wohl ein Geheimnis von Apple bleiben.

Offen ist ebenso, wie lange die Lücke schon existiert. Denn iOS 6 wurde bereits im September 2012 veröffentlicht. Ob die Lücke bereits im ersten Release enthalten war oder mit einem späteren Update ins System gelangte, ist ebenfalls nicht bekannt. iOS 7, das seit 18. September 2013 verfügbar ist, darf von Anfang an als betroffen gelten.

Umgekehrt sind alle OSX-Versionen vor 10.9 nicht per se betroffen, möglicherweise aber einzelne Funktionen. So wurde heute beispielsweise ein Update der Mac-App-Store-Anwendung für OSX 10.8 bereitgestellt.

Hacker-Angriffe auf Behörden und Ministerien
Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42548304 / System & Services)