Apple schließt gefährliche SSL-Lücke in iOS 6 und 7

Apple hat iOS 7.0.6 freigegeben. Das Update schließt vor allem eine gefährliche SSL-Lücke (CVE-2014-1266). Der Update-Beschreibung zufolge kann mit älteren Versionen des Mobilbetriebssystems die Echtheit einer verschlüsselten Verbindung nicht überprüft werden. Die Schwachstelle erlaubte es Angreifern mit erweiterten Rechten, Daten zu komprommitieren oder zu verändern, die durch SSL/TLS geschützt sein sollten. Der Fix ergänzt nun die für eine Validierung erforderlichen Schritte.

Der iOS-Sicherheitsexperte Jonathan Zdziarski glaubt, die Lücke könen “ein sehr ernsthaftes Problem” sein. Möglich seien beispielsweise Man-in-the-Middle-Angriffe, bei denen ein Angreifer an ein Telefon übermittelte Daten abgreift. Zdziarski weist auch darauf hin, dass Apple keinerlei Einschränkungen in seiner Beschreibung der Schwachstelle nennt – etwa, dass der Fehler nur Auftritt, wenn eine bestimmte App läuft. Das deute darauf hin, dass das Problem das gesamte Telefon betrifft, ein Angreifer also die volle Kontrolle über das Gerät und die darauf gespeicherten Daten übernehmen kann.

Apple gibt wie üblich zu Einzelheiten der Sicherheitslücke keine Erklärungen ab. Der Patch steht in Form von iOS 6.1.6 auch für Apples vorherige Mobilbetriebssystemversion bereit. Einen entsprechenden Fix für sein Desktop-OS Mac OS X will das Unternehmen nachreichen. In einer E-Mail an Reuters erklärt es, dass man von der Schwachstelle wisse und einen Patch “in den nächsten Tagen” bereitstellen werde.

Das nächste größere Update für iOS 7 wird für März erwartet. Unter anderem soll iOS 7.1 kleinere Änderungen an der Oberfläche, ein modifiziertes Tastaturlayout und Fahrzeugfunktionen mitbringen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.