"goto fail": Mac OS X 10.9.2 beseitigt SSL-Schwachstelle
Das frisch veröffentlichte OS-X-Update soll das gravierende SSL-Problem beseitigen, welches verschlüsselte Verbindungen angreifbar macht. Version 10.9.2 bringt zudem kleinere Neuerungen.
- Leo Becker
Apple hat Mac OS X 10.9.2 freigegeben – das Update lässt sich über den Mac App Store beziehen. Es beseitigt einen schwerwiegenden Fehler beim Aufbau von SSL-Verbindungen – die fehlenden Validierungsschritte seien wieder hergestellt, schreibt der Mac-Hersteller.
Das seit 10.9 bestehende Problem ermöglichte einem Angreifer im gleichen Netzwerk selbst verschlüsselte Verbindungen beispielsweise beim Online-Banking auszuspähen. Ein Bug in Apples SSL-Implementierung führt bis OS X 10.9.1 dazu, dass der Mac beim sicheren Verbindungsaufbau das Zertifikat der Gegenseite nicht überprüft, wie der Sicherheitsforscher Stefan Esser in einem Interview mit Mac & i erklärte – ein zwischen Client und Server sitzender Angreifer kann dies nutzen, um die Verbindung auszuspähen und zu verändern. In älteren Mac-OS-X-Versionen besteht der Fehler offenbar nicht.
Apple hatte das Problem, das auch iPhone, iPad, iPod touch und Apple TV betrifft, am vergangenen Freitag mit den Updates auf iOS 7.0.6 respektive iOS 6.1.6 (nur für iPhone 3GS und den iPod touch der vierten Generation) sowie der Apple-TV-Software 6.0.2 beseitigt – Nutzer sollten die entsprechenden Aktualisierungen unbedingt einspielen. Für Entwickler, die bereits die Beta von iOS 7.1 einsetzen, steht nach wie vor keine Aktualisierung bereit.
Weiterführende Details zu Ursprung und Entdeckung der gravierenden Schwachstelle, die in iOS offenbar seit über einem Jahr bestand, nannte Apple bislang nicht.
Mac OS X 10.9.2 liefert neben dem SSL-Fix auch einige Neuerungen und Fehlerbehebungen. So erlaubt die Aktualisierung FaceTime-Audioanrufe und der Nutzer kann unerwünschte FaceTime- und iMessage-Gesprächspartner blockieren – beides Funktionen, die schon mit iOS 7 im vergangenen Herbst eingeführt wurden.
Zudem soll Safari keine Probleme mehr beim automatischen Ausfüllen von Formularen haben. Ein Audiofehler, der zu Verzerrungen bei der Tonausgabe führen konnte, wurde behoben und VPN- sowie SMB2-Verbindungen sollen zuverlässiger arbeiten. Zusätzlich lässt sich mit dem in OS X eingebauten Screenreader VoiceOver besser im Finder und in Apple Mail navigieren.
[Update 25.02.2014 20:00 Uhr] Neben der SSL-Lücke beseitigt OS X 10.9.2 eine Reihe weiterer Schwachstellen. Für Nutzer von Mac OS X 10.8.5 Mountain Lion sowie 10.7.5 Lion steht eine eigenständige Sicherheitsaktualisierung 2014-001 zum Download bereit. Die Updates stopfen unter anderem Angriffspunkte in Apache sowie PHP und verschiedene Wege, um die App-Sandbox zu umgehen.
Apple hat außerdem die Root-Zertifikate aktualisiert und verschiedene Schwachstellen in CoreAnimation, CoreText, QuickLook, QuickTime und File Bookmark ausgeräumt, die möglicherweise das Ausführen von Schadcode ermöglichen. Durch einen Secure-Transport-Schwachpunkt sei ein Angreifer auch in OS X 10.8.5 Mountain Lion unter Umständen in der Lage, SSL-verschlüsselte Daten zu entschlüsseln, schreibt Apple – das Update soll dies beheben.
Version 10.9.2 umfasst außerdem Safari in neuer Version 7.0.2 – die neue Version des Browsers schließt mehrere Schwachstellen in WebKit, die unter Umständen das Einschleusen von Schadcode bei Aufruf einer Webseite erlauben. Nutzer von OS X 10.8.5 und 10.7.5 sollten Safari 6.1.2 einspielen, dort ist diese Lücke laut Apple ebenfalls behoben.
[Update 26.02.14 11:50 Uhr:] OS X 10.9.2 kommt auch mit mehreren Fehlerbehebungen für Apple Mail. (lbe)
