Apple hat ein Sicherheitsupdate für iOS 7, iOS 6 und auch für die Firmware des AppleTV freigegeben. Gefixt wurde den äußerst knappen Update-Infos zufolge ein Fehler bei der Verifikation von SSL-Verbindungen. Was auf den ersten Blick vielleicht unspektakulär klingt, betrifft jedoch nahezu alle Verbindungen mit an sich sicheren, mit Secure-Sockets-Layer (SSL) geschützten Webseiten. Durch einen Programmierfehler im SecureTransport-Framework können Angreifer über eine so genannte Man-in-the-Middle-Attacke auf Verbindungen zugreifen, die per SSL verschlüsselt werden.
Was Sie jetzt tun können
©2015
Zur Zeit gibt es nur für iOS 6 und iOS 7 Bugfixes für die SSL-Sicherheitslücke in SecureTransport. Doch auch Nutzer von OS X Mavericks können zumindest ein klein wenig zur Sicherheit ihres Systemes beitragen – was genau, lesen Sie in unserem kleinen Ratgeber “Schutz vor der SSL-Lücke: Was Sie tun können”.
Ebenfalls betroffen ist auch OS X Mavericks, denn SecureTransport ist auch Teil des Codes von Apples Desktop-Betriebssystem. Durch den Fehler, der Experten zufolge durch zwei aufeinander folgende “goto fail;” Codezeilen im Code des SecureTransport-Frameworks ausgelöst wird, prüft OS X (und vor dem Update auf Version 7.0.6 auch iOS) die SSL-Zertifikate von Webseiten nicht korrekt. In der Folge können Angreifer solche Verbindungen nutzen, um gesendete und empfangene Daten abzugreifen.
Apple hat kurz nach dem Bekanntwerden der Sicherheitslücke in Form seiner Pressesprecherin Trudy Muller reagiert und angekündigt, dass “sehr bald” ein Fix für die SSL-Sicherheitslücke in SecureTransport auch für OS X Mavericks erscheinen werde (zum Redaktionsschluss hat Apple das Update noch nicht freigegeben). Das bestätigte Muller gegenüber der Nachrichtenagentur Reuters. Weitere Details nannte Trudy Muller indes nicht, man sei sich aber des Fehlers bewusst und habe bereits eine Lösung parat. Ob Ihr System von der Lücke betroffen ist, können Sie übrigens auf einer Testseite überprüfen, die der Google-Entwickler Adam Langley in seinem Blog online gestellt hat.
Empfehlung: Experten und die Web-Community streiten derzeit noch darüber, ob es sich bei dem Fehler, um einen leichtsinnigen Programmierfehler handelt – oder wie viele befürchten um eine vorsätzlich platzierte Hintertür. Was auch immer die Ursache für den Fehler war, solange die Lücke in OS X nicht geschlossen ist sollten Sie Programme meiden, die auf das SecureTransport-Framework zur SSL-Verifikation zurückgreifen. Dazu gehören neben Safari auch Mail, Nachrichten, Facetime, Twitter, Kalender, Keynote, iBooks und sogar der in OS X integrierte Update-Dienst Software Update.
Als Alternative zu Safari können Sie problemlos auf Firefox oder Google Chrome zum Surfen setzen – beide Browser nutzen nämlich statt SecureTransport zur Verifikation von SSL-Verbindungen die Open-Source-Alternative Network Security Services (NSS). Außerdem empfiehltt es sich bis auf Weiteres öffentliche WLAN-Hotspots zu meiden. Es ist durchaus vorstellbar, dass Apple den Fix für die SecureTransport-SSL-Lücke in OS X noch in das ohnehin in Kürze anstehende Update auf OS X 10.9.2 einbauen wird und sich der Public-Release des OS-X-Updates deswegen verschiebt. Sobald Apple einen Fix für Mavericks auf den Weg bringt, erfahren Sie es auf macwelt.de. In der Zwischenzeit können Sie – sofern Sie zu den versierteren Nutzern von OS X gehören – auch auf einen handgemachten Fix des Entwicklers Stefan Esser zurückgreifen, der den Fehler “quick and dirty” behebt. Dieser Fix ist allerdings nicht offiziell und weder der Entwickler, noch Apple übernehmen bei Problemen die Haftung.