Apple stopft Sicherheitslücken in iOS, OS X und WLAN-Basisstationen

Nach "goto fail" hat Apple am Dienstagabend eine weitere kritische Schwachstelle bei SSL-Verbindungen in iOS 7 sowie Mac OS X beseitigt. Ein Angreifer mit Zugriff auf den Netzwerkverkehr war dadurch in der Lage, SSL-verschlüsselte Verbindungen mitzuschneiden, erklärt der iPhone-Hersteller.

Die Lücke liege in dem Secure-Transport-Mechanismus und ermögliche es, den Triple-Handshake beim Aufbau verschlüsselter Verbindungen auszunutzen. Beim Wiederaufbau einer Verbindung überprüft Secure Transport nun, ob das gleiche Server-Zertifikat wie bei der ursprünglichen Verbindungsaufnahme vorliegt – dies soll das Angriffsszenario verhindern, schreibt Apple.

Neben dem am Dienstagabend veröffentlichten iOS 7.1.1 schließt das Sicherheits-Update 2014-002 die Lücke in OS X. Betroffen sind dort laut Apple OS X 10.9 Mavericks sowie 10.8 Mountain Lion, frühere OS-X-Versionen weisen die Schwachstelle angeblich nicht auf. Für die iOS-basierte Apple-TV-Software ist das Sicherheits-Update in Version 6.1.1 erhalten. Ob ältere iOS-Versionen betroffen sind, bleibt unklar.

iOS 7.1.1 und Apple TV 6.1.1 sollen zudem weitere Sicherheitslücken beseitigen, darunter Schwachstellen in WebKit, die unter Umständen das Ausführen von Schadcode bei Aufruf einer manipulierten Webseite erlauben.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit
• SSL-Gau: So testen Sie Programme und Online-Dienste
• Passwörter in Gefahr - was nun?
• Heartbleed-Betroffene stecken Kopf in den Sand
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
• Infos und Hintergrund zum Heartbleed-Bug

Das Sicherheits-Update 2014-002 für OS X 10.9 Mavericks, 10.8 Mountain Lion sowie 10.7 Lion (und Lion Server) stopft ebenfalls eine ganze Reihe spezifischer Schwachstellen in den verschiedenen Mac-Betriebssystemversionen, darunter auch in Intels Grafiktreibern, Kernel und WindowServer.

Für die WLAN-Basisstationen AirPort Extreme und Time Capsule hat Apple außerdem die neue Firmware 7.7.3 zum Download bereitgestellt. Sie soll die Heartbleed-Schwachstelle in OpenSSL beseitigen. Laut Apple betrifft die Problematik ausschließlich die jüngste AirPort-Generation mit 802.11ac-Unterstützung, wenn die Fernzugriffsfunktion "Back to My Mac" oder das Verschicken von Diagnoseinformationen aktiv ist.

Bei einem Man-in-the-Middle-Angriff sei es möglich gewesen, auf den Anmeldedialog zuzugreifen, erklärte Apple gegenüber Macworld.com – Passwörter ließen sich angeblich nicht auslesen. Nach dem Einspielen des Firmware-Updates müssen Nutzer "Back to My Mac" unter Umständen erneut aktivieren. (lbe)