Digital Life
02/23/2014

Apple verspricht rasches Update für schwere Lücke in OS X

Die von Apple entdeckte und zumindest bei iOS geschlossene Sicherheitslücke ist schwerer als gedacht. Der Konzern will nun rasch auch beim Betriebssystem nachbessern.

Die von Apple zunächst ohne viel Aufheben mitgeteilte Sicherheitslücke, die bei iPads und iPhones mit einem Update behoben wurde, ist weitaus dramatischer als gedacht. Apple hat mittlerweile den Verdacht bestätigt, dass die Lücke, die wesentliche Verschlüsselungstechnologien aushebelt, auch im aktuellen Betriebssystem Mac OS X 10.9 Mavericks vorhanden und noch nicht behoben. Wie Apple gegenüber der Nachrichtenagentur Reuters mitteilte, sei das Software-Update im Prinzip schon fertig, und werde rasch ausgeliefert werden.

Falsche Code-Zeile

Wie Sicherheitsexperten wie der Google-Entwickler Adam Langley nach der Analyse des als Open Source zur Verfügung gestellten Codes herausgefunden haben, hat eine fehlerhafte Codezeile dazu geführt, dass der Verschlüsselungsstandard SSL/TLS, der von vielen Webdiensten, aber auch Banken zur Absicherung im Internet verwendet wird, komplett ausgehebelt wird. Anstatt die SSL-Signatur auf ihre Authentizität zu überprüfen, springt der Prozess immer ans Ende des Vorgangs. Angreifer kommen mit ihren präparierten Seiten folglich auch durch den Prozess, wenn sie nicht das für die Authentifizierung nötige Zertifikat besitzen.

Wie Apple auf den Fehler gestoßen ist und ob Fälle bekannt sind, in denen Angreifer die Schwachstelle ausnutzen konnten, ist weiterhin nicht bekannt. Auch sind sich die Sicherheitsexperten nicht ganz einig, ob Apple in diesem Fall einfach großes Pech hatte, da der fehlerhafte Code auch von einigen Testprogrammen übersehen wird, oder dennoch schlampig gearbeitet hat. Angesichts der Tatsache, dass durch den fehlerhaften Code die Verschlüsselung ausgehebelt werden konnte, spekulierten einzelne Sicherheitsforscher sogar damit, dass der vermeintliche Fehler von einem Geheimdienstmitarbeiter absichtlich eingeschleust wurde, um eine Einfallstür zu erzeugen.

Google-Tester Langley kommt in seinem Blogeintrag allerdings zum Schluss, dass es vermutlich einfach ein Fehler war und er jetzt nicht in der Haut des Verantwortlichen bei Apple stecken möchte.