Apple "goto fail": Gravierende Sicherheitslücke bei iPhone, iPad und Macs [Update]
Apple hat eine gravierende Sicherheitslücke in OSX und iOS, womit alle Apple-Geräte von iPhone, iPad und Macs bis hin zum iPod Touch betroffen sind. Das Sicherheitsleck macht unter dem Namen "goto fail" die Runde. Für iOS gibt es bereits ein Update - für Macs allerdings noch nicht.
Update vom 26.02.2014
Apple hat nun auch einen Patch für die "goto fail"-Sicherheitslücke in OSX bereitgestellt. Das Update ist für OSX 10.9 "Mavericks" verfügbar und sollte wie schon bei iOS nur in vertrauenswürdigen Netzwerkumgebungen installiert werden. Das Update trägt die Versionsnummer 10.9.2 und ist 460 MByte groß. Nach der Installation muss ein Neustart ausgeführt werden. Anhand der Größe ahnen Sie bereits, dass nicht nur die SSL-Sicherheitslücke gestopft wurde. Im Update enthalten sind auch Verbesserungen für Facetime, Facetime Audio und iMessage. In Facetime können nun Anrufer bzw. Absender blockiert werden, in Mail wurden zahlreiche Fehler behoben und die Autovervollständigung verbessert.
--------------------
Original-Artikel vom 24.02.2014
Es kommt eher selten vor, dass Apple mit großen Problemen bei der Sicherheit seiner Betriebssysteme konfrontiert wird. Insbesondere bei Rechnern ist die Verfügbarkeit auf dem Markt offenbar nicht hoch genug, als dass es für Cyberkriminelle interessant wäre, aktiv zu werden. Doch nun hat es das Unternehmen aus Cupertino doch erwischt. Die als "goto fail" bekannt gewordene Sicherheitslücke wird von Kriminellen bereits aktiv ausgenutzt und ist sowohl bei OSX als auch bei iOS anzufinden. Auf der Webseite gotofail.com lässt sich prüfen, ob man betroffen ist.
In offenen Netzwerken wie etwa Hotspots, Internetcafés und Co. können sich Angreifer zwischen das Gerät und den via gesicherter HTTPS-Netzwerkverbindung angefunkten Server schalten und so den Datenverkehr protokollieren. Davon betroffen sind quasi alle Programme, die die Schnittstelle zum vermeintlich sicheren Datenverkehr nutzen – darunter Safari, Mail, Facetime und iBooks, aber auch Software von Dritten wie etwa Twitter. Zudem kann sich ein Angreifer über die Schnittstelle als vertrauenswürdiges Gerät bei OSX und iOS melden. Das wiederum macht es möglich, Schadcode einzuschleusen. Schuld ist ein doppeltes "goto fail" im Code, was die Prüfung des Sicherheitsschlüssels entfallen lässt.
Ein Update für die Sicherheitslücke ist bereits für iPhone und iPad verfügbar. Apple-Geräte melden normalerweise automatisch, dass ein Update bereitsteht (iOS 7.0.6). Das sollten Sie schnellstmöglich in einer vertrauenswürdigen Umgebung, etwa ihrem heimischen Netzwerk, installieren. Das liegt an der Tatsache, dass sich Angreifer als vertrauenswürdig ausgeben können und man sich so Malware einfangen kann, wenn das Update etwa in einem Internetcafé oder an einem Hotspot ausgeführt wird. Problematisch ist das allerdings für Nutzer von älteren iOS-Versionen. Wer nicht iOS 6 oder iOS 7 nutzt, der bekommt mit dem Update das neue Betriebssystem installiert – sofern das Gerät die neue Software unterstützt.
Für Mac OSX gibt es bisher kein Update. Es ist auch nicht bekannt, welche Versionen des Betriebssystems betroffen sind. Wann Apple ein Update veröffentlicht, ist bisher ebenfalls unbekannt. Derweil wird es dringend empfohlen, Mac-Rechner (ob Desktop oder Notebook) nicht in Netzwerken zu verwenden, die nicht vertrauenswürdig sind.
Quelle: Imperial Violet
Hast du kein Cydia, schau bei Ryan oder BigBoss vorbei und schau's dir dort an. BigBoss listet den Patch.
Hast du Cydia? dann funzt der Link! Ist kein http-Link.
Hast du kein Cydia, schau bei Ryan oder BigBoss vorbei und schau's dir dort an. BigBoss listet den Patch.
Link leider nicht mehr verfügbar. -.-
Für alle die Jailbreaker da draußen.
Ryan Petrich
[Ins Forum, um diesen Inhalt zu sehen]