Heartbleed-Sicherheitslücke: OS X und iOS nicht betroffen – zumindest nicht direkt
Der katastrophale Fehler in der Verschlüsselungsbibliothek OpenSSL steckt nicht in Apples aktuellen Betriebssystemen. Doch die aktuellen Warnungen gelten auch für iPhone- und Mac-Nutzer.
Manchmal kann es tatsächlich hilfreich sein, wenn ein Hersteller nicht die allerneueste Open-Source-Software in sein Betriebssystem einbaut: Apple-Produkte sind von dem aktuell das Web heimsuchenden katastrophalen "Heartbleed"-Bug nicht betroffen. Der Grund: Unter OS X und OS X Server verwendet Apple nach wie vor die alte OpenSSL-Version 0.9.8, die den vor zwei Jahren eingebauten Fehler noch nicht enthält. iOS wiederum kommt standardmäßig überhaupt nicht mit OpenSSL.
Android-Nutzer sind dagegen anfällig, wenn sie Version 4.1.1 (erstes Update von Jelly Bean) des Mobilbetriebssystems installiert haben. In späteren Android-Versionen wurde die "Heartbeat"-Funktion, die dank eines Fehlers das Auslesen geheimer Schlüssel, Passwortdaten und anderer kritischer Informationen möglich machte, von Google komplett abgeschaltet. Frühere Releases nutzten sie nicht.
Nutzer eines OS-X-Macs sind grundsätzlich nur dann betroffen, wenn sie ihrer Maschine über MacPorts oder Homebrew eine neuere Version von OpenSSL (1.0.1 bis 1.0.1f) spendiert haben. Manche App verwendet die Bibliothek auch intern. So wurde der VPN-Client Viscosity gerade auf Version 1.4.8 aktualisiert, um Heartbleed auszumerzen. Nutzer sollten insbesondere bei sicherheitskritischen Programmen auf Updates achten.
Die direkte "Heartbleed-Freiheit" von OS X und iOS bedeutet zudem nicht, dass Apple-Kunden ihre Augen vor der Gefahr verschließen können. Bei dem Bug handelt es sich vor allem um ein Server-Problem. (Obwohl Clients mit mehr Aufwand auch angegriffen werde können.) So sollte man seine Programme und Online-Dienste testen, ob sie betroffen sind und gegebenenfalls Passwörter ändern – allerdings erst dann, wenn der jeweilige Anbieter seine Verschlüsselungszertifikate gewechselt hat, die Heartbleed auch verraten haben könnte. Zahlreiche große Websites waren betroffen, darunter etwa Yahoo Mail und Web.de. (bsc)