BSI warnt vor SSL-Patzer ín Mac OS X
Weil unter Mavericks die verschlüsselten Verbindungen etlicher Anwendungen wie Safari und Apple Mail angreifbar sind, sollten Anwender nach Einschätzung des Bürger-CERT derzeit besser darauf verzichten, sie zu nutzen.
- Ronald Eikenberg
Weil es für die fatale SSL-Schwachstelle in Mac OS X 10.9.1 (Mavericks) noch keinen Patch gibt, rät das Bürger-CERT des Bundesamts für Sicherheit in der Informationstechnik (BSI) nun davon ab, potenziell betroffene Anwendungen zu nutzen: "Auf den betroffenen Mac OS X Geräten steht derzeit kein Update zur Verfügung. Auf diesen Geräten sollte auf die Nutzung von betroffenen Anwendungen, die über SSL-Verbindungen auf Dienste im Internet zugreifen (u.a. Safari, iMessage, Facetime und Apple Mail), verzichtet werden", heißt es in der Technischen Warnung, die das Bürger-CERT am Montagnachmittag veröffentlicht hat. Potenziell anfällig sind sämtliche Anwendungen, die auf Apples Krypto-Infrastruktur vertrauen.
(Bild: ImperialViolet)
Die Warnung kommt nicht von ungefähr: Da Mac OS X die entscheidende Signatur-Überprüfung beim Aufbau von SSL-Verbindungen überspringt, kann sich ein Angreifer als Man-in-the-Middle in verschlüsselte Verbindungen einklinken und den Datenverkehr belauschen. Der IT-Security-Experte Stefan Esser erklärt im ausführlichen Interview der Mac & i: "Von diesem Moment an kann der Angreifer den verschlüsselten Datenverkehr zwischen Client und Server ausspähen und modifizieren, also zum Beispiel die Kommunikation mit der Webseite ihrer Bank, mit ihrem E-Mail-Provider, irgendeinem Onlineshop oder sozialen Netzwerken wie Facebook." Die Lage ist also ernst.
Ebenfalls betroffen sind Geräte mit iOS 6 und 7, die Besitzer solcher Geräte umgehend aktualisieren sollten – sofern nicht bereits geschehen. Für die bietet Apple bereits abgesicherte Firmware-Versionen an. Das Update für Mavericks wird voraussichtlich die Versionsnummer 10.9.2 tragen und soll laut Apple "in Kürze" erscheinen. Wann genau, ist derzeit nicht bekannt. (rei)
