Update - Schwachstelle in Apple Betriebssystemen iOS und Mac OS X (Updates verfügbar)
24. Februar 2014
Update 26. Februar 2014
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Meldung bei Heise über iOS 6 und 7
http://www.heise.de/security/meldung/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html
Meldung bei Heise über Mac OS X
http://www.heise.de/security/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html
Technische Fehlerbeschreibung bei ImperialViolet (englisch)
https://www.imperialviolet.org/2014/02/22/applebug.html
Meldung bei Heise über das Update für Mac OS X
http://www.heise.de/newsticker/meldung/goto-fail-Mac-OS-X-10-9-2-beseitigt-SSL-Schwachstelle-2122971.html
Update 26. Februar 2014
Beschreibung
Das Betriebssystem Apple iOS, das in Geräten zur mobilen Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod touch eingesetzt wird, enthält in den Bibliotheken, die zur verschlüsselten Kommunikation (SSL, HTTPS) benutzt werden, Schwachstellen.Diese Sicherheitslücke ist auch im Apple Betriebssystem für Personal Computer, Mac OS X, enthalten.
Die Lücke erlaubt es einem Angreifer unter bestimmten Umständen, sich in verschlüsselte Verbindungen einzuklinken und die dort übertragenen Daten mitzulesen bzw. zu manipulieren.
Auswirkungen
Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem das Auslesen von vertraulichen Informationen (Passwörter, Online-Banking-Daten etc.).Betroffene Systeme
Von der Schwachstelle betroffen sind folgende Geräte mit dem Betriebssystem iOS:- alle iOS-7-fähigen Geräte mit iOS 7 vor 7.0.6
- iPhone 3GS und iPod touch 4G mit iOS 6 vor 6.1.6
- Apple-TV mit Betriebssystem vor 6.0.2
- Mac OS X 10.9.0 / 10.9.1
Abhilfe
Für Geräte mit dem Betriebssystem iOS existieren bereits Updates. Wir empfehlen, manuell nachzuprüfen, ob diese auch erfolgreich installiert wurden.
Update (2014-02-26):
Für Mac OS X wird der Fehler mit dem Update auf die Version 10.9.2 behoben. Dieses muss manuell über den Apple App Store eingespielt werden. Sollte ein Update nicht möglich sein empfehlen wir zumindest einen anderen Web-Browser zu verwenden, der die verwundbaren SSL-Bibliotheken nicht verwendet (etwa Mozilla Firefox oder Google Chrome).
Ob ein Gerät für diese Lücke anfällig ist, lässt
sich auch über eine speziell dafür eingerichtete Webseite
herausfinden: gotofail.com.
Für Mac OS X wird der Fehler mit dem Update auf die Version 10.9.2 behoben. Dieses muss manuell über den Apple App Store eingespielt werden. Sollte ein Update nicht möglich sein empfehlen wir zumindest einen anderen Web-Browser zu verwenden, der die verwundbaren SSL-Bibliotheken nicht verwendet (etwa Mozilla Firefox oder Google Chrome).
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Meldung bei Heise über iOS 6 und 7
http://www.heise.de/security/meldung/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html
Meldung bei Heise über Mac OS X
http://www.heise.de/security/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html
Technische Fehlerbeschreibung bei ImperialViolet (englisch)
https://www.imperialviolet.org/2014/02/22/applebug.html
Meldung bei Heise über das Update für Mac OS X
http://www.heise.de/newsticker/meldung/goto-fail-Mac-OS-X-10-9-2-beseitigt-SSL-Schwachstelle-2122971.html