Deutsch | English

Update - Schwachstelle in Apple Betriebssystemen iOS und Mac OS X (Updates verfügbar)

24. Februar 2014
Update 26. Februar 2014

Beschreibung

Das Betriebssystem Apple iOS, das in Geräten zur mobilen Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod touch eingesetzt wird, enthält in den Bibliotheken, die zur verschlüsselten Kommunikation (SSL, HTTPS) benutzt werden, Schwachstellen.

Diese Sicherheitslücke ist auch im Apple Betriebssystem für Personal Computer, Mac OS X, enthalten.

Die Lücke erlaubt es einem Angreifer unter bestimmten Umständen, sich in verschlüsselte Verbindungen einzuklinken und die dort übertragenen Daten mitzulesen bzw. zu manipulieren.

Auswirkungen

Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem das Auslesen von vertraulichen Informationen (Passwörter, Online-Banking-Daten etc.).

Betroffene Systeme

Von der Schwachstelle betroffen sind folgende Geräte mit dem Betriebssystem iOS:
  • alle iOS-7-fähigen Geräte mit iOS 7 vor 7.0.6
  • iPhone 3GS und iPod touch 4G mit iOS 6 vor 6.1.6
  • Apple-TV mit Betriebssystem vor 6.0.2
sowie Apple Personal Computer mit dem Betriebssystem
  • Mac OS X 10.9.0 / 10.9.1

Abhilfe

Für Geräte mit dem Betriebssystem iOS existieren bereits Updates. Wir empfehlen, manuell nachzuprüfen, ob diese auch erfolgreich installiert wurden.

Update (2014-02-26):
Für Mac OS X wird der Fehler mit dem Update auf die Version 10.9.2 behoben. Dieses muss manuell über den Apple App Store eingespielt werden. Sollte ein Update nicht möglich sein empfehlen wir zumindest einen anderen Web-Browser zu verwenden, der die verwundbaren SSL-Bibliotheken nicht verwendet (etwa Mozilla Firefox oder Google Chrome).

Ob ein Gerät für diese Lücke anfällig ist, lässt sich auch über eine speziell dafür eingerichtete Webseite herausfinden: gotofail.com.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Meldung bei Heise über iOS 6 und 7
http://www.heise.de/security/meldung/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html
Meldung bei Heise über Mac OS X
http://www.heise.de/security/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html
Technische Fehlerbeschreibung bei ImperialViolet (englisch)
https://www.imperialviolet.org/2014/02/22/applebug.html
Meldung bei Heise über das Update für Mac OS X
http://www.heise.de/newsticker/meldung/goto-fail-Mac-OS-X-10-9-2-beseitigt-SSL-Schwachstelle-2122971.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
mehr ...
Tanze (aktualisierten) Samba mit mir
26. Mai 2017 | Die Erinnerung ...
Ein paar Gedanken zu WannaCry
14. Mai 2017 | Wir haben ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/2/28 - 17:24:59
Haftungsausschluss