SSL-Bug in Mac OS X: Apple verspricht Update

Der jüngst in dem Update auf iOS 7.06 behobene Fehler, der es Angreifern ermöglichte, SSL- und HTTPS-Verbindungen, wie sie zum Mail-Verkehr und bei Online-Transaktionen eingesetzt werden, ist unter dem aktuellen Mac OS X 10.9.1 weiterhin akut. "Wir haben das Problem erkannt und einen Software-Patch parat, den wir in Kürze veröffentlichen werden," erklärte Apple-Sprecherin Trudy Muller.

Der Fehler betreffe die SSL-Implementation von Mac OS X 10.9.1 (Mavericks), das vor mehr als zwei Monaten am 17. Dezember 2013 veröffentlicht wurde. Er erlaube sogenannte Man-in-the-middle-Angriffe, bei denen Mails, Kreditkarten-Nummern und andere Daten abgefangen werden können, die vermeintlich sicher über eine SSL-Verbindung (dazu zählen auch HTTPS-Verbindungen) ausgetauscht werden. Dazu klinkt sich der Angreifer in die Verbindung ein, entschlüsselt den Inhalt der Verbindung und kann diese nach Belieben kopieren, austauschen und neu verschlüsseln. Die Zertifikatüberprüfung in Apples SSL-Implementierung wird durch den Bug einfach übergangen, ein Signatur-Check findet nicht statt. Derzeit streiten Experten darüber, ob der Fehler, der auf einer einzigen, gedoppelten Programmzeile "goto fail;" beruht, auf einen Programmierfehler oder eine absichtlich installierte Back Door zurückzuführen sei.

Von dem Fehler sind alle Programme unter Mac OS X betroffen, die die fehlerhafte SSL-Implementierung von Mac OS X nutzen, darunter der Safari-Browser, Apple Mail, Facetime, Messages, iTunes und iCloud. Browser wie Google Chrome und Mozilla Firefox seien nicht betroffen, weil sie nicht auf die betreffende SSL-Library von Mac OS X zugreifen. Anwender können auf der Webseite gotofail.com prüfen, ob ihr Web-Browser eine sichere SSL-Verbindung aufbauen kann oder nicht. Laut dem Betreiber von Gotofail habe die deutsche Webseite SektionEins kurzfristig einen Patch für die SSL-Lücke in Mac OS X veröffentlicht, der von Experten allerdings noch geprüft werden muss. (hag)