Apple schließt kritische SSL-Lücke in iOS 6 und 7

Der Patch ergänzt die für die Validierung einer verschlüsselten Internetverbindung nötigen Schritte. Die Schwachstelle erlaubt es Angreifern, Daten zu komprommitieren oder zu verändern, die eigentlich durch SSL/TLS geschützt sein sollten. Mit iOS 7.0.6 und iOS 6.1.6 wurde das Problem behoben, ein Fix für Mac OS soll "sehr bald" folgen.

Apple hat am Freitag iOS 7.0.6 freigegeben, das eine kritische SSL-Lücke (CVE-2014-1266) in seinem Mobilbetriebssystem schließt. Der Update-Beschreibung zufolge konnte zuvor die Echtheit einer verschlüsselten Verbindung nicht überprüft werden und der Fix ergänzt die für eine Validierung nötigen Schritte. Die Schwachstelle erlaubte es Angreifern mit erweiterten Rechten, Daten zu komprommitieren oder zu verändern, die eigentlich durch SSL/TLS geschützt sein sollten.

iOS 7 auf dem iPhone (Bild: Jason Cipriani/CNET)

Wie üblich schweigt sich Apple zu Einzelheiten der Sicherheitslücke aus. Daher ist es schwierig, das von ihr ausgehende Risiko einzuschätzen. „Sie hat das Potenzial, ein sehr ernsthaftes Problem zu sein“, sagt der iOS-Sicherheitsexperte Jonathan Zdziarski. Möglich seien beispielsweise Man-in-the-Middle-Angriffe, bei denen ein Angreifer an ein Telefon übermittelte Daten abgreift.

Zdziarski betont auch, dass Apple keinerlei Einschränkungen in seiner Beschreibung der Schwachstelle nennt – etwa, dass der Fehler nur Auftritt, wenn eine bestimmte App läuft. Das deute darauf hin, dass das Problem das gesamte Telefon betrifft, ein Angreifer also die volle Kontrolle über das Gerät und die darauf gespeicherten Daten übernehmen kann.

Der Patch steht in Form von iOS 6.1.6 auch für Apples vorherige Mobilbetriebssystemversion bereit. Einen entsprechenden Fix für sein Desktop-OS Mac OS X will das Unternehmen aus Cupertino „sehr bald“ nachliefern. In einer E-Mail an Reuters erklärte es, dass man von der Schwachstelle wisse und bereits einen Patch entwickelt habe, der in den nächsten Tagen erscheinen werde.

Das nächste größere Update für iOS 7 wird für März erwartet. iOS 7.1 soll unter anderem kleinere Änderungen an der Oberfläche, ein modifiziertes Tastaturlayout und Fahrzeugfunktionen mitbringen.

[mit Material von Richard Nieva, News.com, und Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Mac OS X, Secure-IT, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

17 Kommentare zu Apple schließt kritische SSL-Lücke in iOS 6 und 7

Kommentar hinzufügen
  • Am 24. Februar 2014 um 13:00 von PeerH

    Kleine Ergänzungen: ein mehr als ärgerlicher Bug, unnötig, vermeidbar.

    Wichtig ist es aber zu wissen, dass die Gefahr hauptsächlich in ungesicherten, offenen WLANs groß sein dürfte. Und auch da muss derjenige sitzen, warten, die Lücke ausnutzen, wissen, dass es sich gerade bei ‚diesem da‘ lohnt, und dann versuchen innerhalb von Minuten den Rechner zu bearbeiten. Möglich, aber m.E. eher unwahrscheinlich.

    In einem privaten Netzwerk müsste man erst auf eine kompromittierte Webseite gehen. Und in offenen Netzen sollte man eh grundsätzlich vorsichtig sein, und keine Bankgeschäfte tätigen.

    Es ist recht unnötig in den Panik-Modus zu verfallen. Einfach Updates einspielen, und gut isses.

    Für iOS ist ja insofern bereits ein Update vorhanden, einfach durchführen – Dauer ca. 10 Minuten, inkl. Reboot. Over the air sollte der Akku >50% geladen sein, sonst startet das Update nicht.

    OS X:
    A. Es betrifft nur OS X Mavericks Rechner, Mountain Lion und ältere sind nicht betroffen.
    B. Wer surfen will, meidet in den nächsten Tagen einfach Safari, und nutzt Chrome/Firefox, Twittert nicht von unterwegs und über iMessages/Facetime sollten nicht unbedingt die Kontodaten und Kennworte ausgetauscht werden.
    C. Geringes Risiko, da eh nur vorgegebene Services genutzt werden, besteht für Apple TV, aber das Update sollte doch eingespielt werden.

    Zumal ich die Box und meinen 55″ Philips eher selten am Flughafen auspacke, und via Free Internet nutze. ;-)

  • Am 24. Februar 2014 um 13:19 von In bester Gesellschaft

    Sicherheitslücke, die 70% der Androiden betrifft, aber wohl nie gepatcht wird:

    http://www.t-online.de/handy/smartphone/id_68193734/neuer-schadcode-alte-sicherheitsluecke-in-android-wird-zum-problem.html

    Das sollte mehr Sorgen machen, als dieser peinliche Apple Bug.

    • Am 24. Februar 2014 um 14:44 von Ganz großes Fragezeichen

      Ja das ist typisch Applefutzies. Ich habe ich über den aroganten und unfähigen Drecksladen Apple furchbar geärgert. Seit Wochem bzw. seit Monaten wissen die das ihr Betriebssystem mehr Löcher hat wie ein schweizer Käse und was machen sie. Wie immer Schweigen. Sollen wir doch ruhig weiter unsere Bankgeschäfte auf diesem Stümpersystem machen. Ja, was mußte ich noch vor kurzem hier lesen. OSX und iOS ist das sicherste System was es gibt.
      Das einzige sichere an dem System sind die fest einprogrammierten Hintertüren für die NSA.

      • Am 24. Februar 2014 um 14:55 von Kein Fragezeichen

        Blah, blah … sing dieses Lied besser den Android Anwendern vor? Du hast eh kein Apple Gerät.

        Es kochen alle nur mit Wasser, und man sollte auch solche schlimmen Bugs nicht überdramatisieren. Wenn es ein Hotfix gibt, ist es damit erledigt.

        Schlimm ist es nur, wenn es kein Hotfix mehr gibt. Und dieses Problem ist eher typisch für Android.

        • Am 24. Februar 2014 um 15:10 von Ganz großes Fragezeichen

          Ich sitze vor mehr Appe Rechner gleichzeitig wie du dir je in deinem Leben leisten wirst. 27″ iMac, MacMini, MacBook (2014), iPad und iPhone.

          • Am 24. Februar 2014 um 15:24 von Na immerhin ...

            … verwende ich das Wörtchen ‚wie‘ nicht an der falschen Stelle. Es heisst ‚mehr als‘. Aber ansonsten hast Du schön von der Apple Webseite die Produkte abgelesen. ;-)

            Testfrage: wie hieß doch gleich der Mechanismus in OS X, mit dem man Sicherungen fahren kann?

            a. Time Zone
            b. Time Shift
            c. Time Frame
            d. Windows Backup

            Viel Spaß beim googeln. ;-)

            Aufpassen, dass Du Dich nicht in der Mitte entzwei reisst, bei Deinem Ärger! Ich mache mir ernsthaft Sorgen! :-]

          • Am 24. Februar 2014 um 15:52 von PeerH

            Du hast den Sinn nicht verstanden: nicht zum davor sitzen (!), zumdamit arbeiten kauft man diese Geräte! ;)

            Oder ’sitzt Du gerade bei Mediamarkt in der Apple Ecke?

            Wie man sich wegen eines Bugs so künstlich aufregen kann, ist erstaunlich. Schick die Bundeswehr nach Cupertino, oder besser: ruf den Bündnisfall aus, und besteh darauf, dass Obama die Bombe wirft?

            Ach herrje. ;]

          • Am 24. Februar 2014 um 16:37 von Ganz großes Fragezeichen

            Tja, da ist ja meine Rechtschreibung genauso „schrottig“ als/wie die Apple-Produkte.
            Mediamarkt – verkaufen die das den überhaupt noch? Haben die das nicht schon aus dem Sortiement geworfen?

          • Am 24. Februar 2014 um 16:51 von Ganz großes Fragezeichen

            Na immerhin….
            Nein, auf die Apple-Webpage brauchte ich deswegen nicht nachschauen. Du wirst es nicht glauben, aber es gibt tatsächlich Leute die soooo viel Mac-Produkte einsetzen ohne sie zu vergöttern. Es sind auch nur ganz normale „Werkzeuge“ und diesen Time-Müll setze ich persönlich überhaupt nicht ein. Ich verwende auf dem Mac fast nur Software von anderen Herstellen. Apple bietet da nur Spielzeug an. Page=Witz, Karten= Oberwitz, Kalender=unbrauchbar, Launchpad=schlechte Kopie der Win8-Oberfläche usw.

          • Am 25. Februar 2014 um 18:10 von Mac

            Wow, das MacBook 2014 hätte ich auch gern, ich hoffe es erscheint noch dieses Jahr ;-)

        • Am 24. Februar 2014 um 15:12 von Ganz großes Fragezeichen

          Man müßte Apple wegen dieser absoluten Verantwortungslosigkeit eigentlich anzeigen. So handeln nur Verbrecher.

  • Am 24. Februar 2014 um 13:53 von punisher

    Typisch.

    • Am 24. Februar 2014 um 15:00 von Typisch?

      Was meinst Du?

      Beide Nachrichten sind in etwa zeitgleich veröffentlicht worden: über Apple wird berichtet, obwohl es bereits Updates gibt, und für OS X in den nächsten Tagen, die 70% Android Anwender bleiben ohne Fix und interessieren niemanden?

      Meinst Du das mit typisch?

  • Am 24. Februar 2014 um 16:13 von punisher

    Mit typisch meinte ich, dass bei jeder Lücke in anderen Systemen, die Gemeinde auftaucht und predigt.
    Passiert das bei Apple, ios6+ ios7 + osx mavericks, kommen ein paar aus der Gemeinde wieder und tun so als obs nix ist.
    Plötzlich ist eine Schwachstelle in SSL nicht so tragisch, da einer die genaue ip, die Zeit und so weiter kennen muss. Bei z.B. Windows muss er das natürlich nicht, da erscheint dann bei jedem mac user ein Button um die Schwachstelle zu nutzen.
    Das ist typisch.

    • Am 24. Februar 2014 um 19:05 von Ja, klar

      Na, typisch ist, dass alle mit Wasser kochen. Bugs wird es immer geben, weil Software nie 100%ig ist.

      Die Frage ist, wie man damit umgeht: AVM/Fritz war meiner Meinung nach sehr gut. Auch alte Geräte wurden gefixed.

      Apple scheint zumindest zeitnah Updates zu bieten, Das Update von iOS ist bereits vorhanden und für OS X soll ‚in wenigen Tagen‘ folgen. Scheint also soweit auch OK zu sein.

      Android (siehe Meldung weiter oben) scheint seit Ewigkeiten kritische Lücken zu besitzen, aber da die Versionen ‚out of Support‘ sind, interessiert das weder Google, noch die Hersteller. Das ist m.E. sehr schlecht.

      Microsoft liefert kontinuierlich Bugs, was gut ist und und zwar auch für alte Systeme. Allerdings gibt es da doch arg viele Fehler (neue Win 7 Installation weit über 250 Hotfixes!) … aber ok, sofern sie gefixed werden. Einige IExplorer Fehler sind aber seit einiger Zeit offen, es kann also noch besser werden.

      Mein größtes Problem sehe ich bei der mangelhaften Support Politik von Google/Android (18 Monate, lachhaft!), Microsoft und Apple sind da Gold gegen.

      • Am 25. Februar 2014 um 12:54 von punisher

        Ich kann dir größtenteils recht geben, auch wenb dein Kommentar keinen Bezug mehr zu meinem hat.

  • Am 26. Februar 2014 um 17:36 von Wojciech W.

    Und wieder gibt es eine neue Lücke: http://voxey.de/datenschutz/ios-neue-sicherheitsluecke/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *