Heartbleed-Sicherheitslücke: OS X und iOS nicht betroffen – zumindest nicht direkt

Der katastrophale Fehler in der Verschlüsselungsbibliothek OpenSSL steckt nicht in Apples aktuellen Betriebssystemen. Doch die aktuellen Warnungen gelten auch für iPhone- und Mac-Nutzer.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 2 Min.

Manchmal kann es tatsächlich hilfreich sein, wenn ein Hersteller nicht die allerneueste Open-Source-Software in sein Betriebssystem einbaut: Apple-Produkte sind von dem aktuell das Web heimsuchenden katastrophalen "Heartbleed"-Bug nicht betroffen. Der Grund: Unter OS X und OS X Server verwendet Apple nach wie vor die alte OpenSSL-Version 0.9.8, die den vor zwei Jahren eingebauten Fehler noch nicht enthält. iOS wiederum kommt standardmäßig überhaupt nicht mit OpenSSL.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Android-Nutzer sind dagegen anfällig, wenn sie Version 4.1.1 (erstes Update von Jelly Bean) des Mobilbetriebssystems installiert haben. In späteren Android-Versionen wurde die "Heartbeat"-Funktion, die dank eines Fehlers das Auslesen geheimer Schlüssel, Passwortdaten und anderer kritischer Informationen möglich machte, von Google komplett abgeschaltet. Frühere Releases nutzten sie nicht.

Nutzer eines OS-X-Macs sind grundsätzlich nur dann betroffen, wenn sie ihrer Maschine über MacPorts oder Homebrew eine neuere Version von OpenSSL (1.0.1 bis 1.0.1f) spendiert haben. Manche App verwendet die Bibliothek auch intern. So wurde der VPN-Client Viscosity gerade auf Version 1.4.8 aktualisiert, um Heartbleed auszumerzen. Nutzer sollten insbesondere bei sicherheitskritischen Programmen auf Updates achten.

Die direkte "Heartbleed-Freiheit" von OS X und iOS bedeutet zudem nicht, dass Apple-Kunden ihre Augen vor der Gefahr verschließen können. Bei dem Bug handelt es sich vor allem um ein Server-Problem. (Obwohl Clients mit mehr Aufwand auch angegriffen werde können.) So sollte man seine Programme und Online-Dienste testen, ob sie betroffen sind und gegebenenfalls Passwörter ändern – allerdings erst dann, wenn der jeweilige Anbieter seine Verschlüsselungszertifikate gewechselt hat, die Heartbleed auch verraten haben könnte. Zahlreiche große Websites waren betroffen, darunter etwa Yahoo Mail und Web.de. (bsc)