Sicherheitsupdate für iOS 6 und 7
Apple hat außer der Reihe eine wichtige Security-Aktualisierung für die letzten beiden Hauptversionen seines Mobilbetriebssystems für iPhone, iPod touch und iPad vorgelegt. Apple-TV-Geräte sind auch betroffen.
Um eine sicherheitsrelevante Lücke zu stopfen, hat Apple am Freitagabend eine Aktualisierung für iOS 6, iOS 7 und die Apple-TV-Firmware vorgelegt. Der Bug scheint akut zu sein: Wie der Konzern in einem Advisory schreibt, war es Dritten potenziell möglich, geschützte SSL/TLS-Sitzungen abzufangen oder gar zu modifizieren, wenn sich diese in einer "privilegierten Netzwerkposition" befinden – damit ist vermutlich das gleiche lokale Netzwerk gemeint.
Laut Apple gelingt es der Secure Transport-Routine in manchen Fällen nicht, die Authentizität der verschlüsselten Verbindung korrekt zu validieren. Das Update soll die fehlenden beziehungsweise fehlerhaft arbeitenden Überprüfungsschritte nachliefern.
Nach dem Update aktuell sind jeweils iOS 7.0.6 (alle iOS-7-fähigen Geräte) und iOS 6.1.6 (iPhone 3GS und iPod touch 4G). Die ausgebesserte Apple-TV-Software trägt die Versionsnummer 6.0.2. Die Aktualisierung ist recht klein, auf einem iPhone 5 misst sie beispielsweise nur knapp 35 MByte. Nutzer sollten baldmöglichst aktualisieren.
Update vom 22.2., 19 Uhr: Inzwischen sind weitere Details über die Schwachstelle bekannt. Demnach patzt iOS beim Überprüfen der Signatur von SSL-Zertifikaten. Beim Aufbau von SSL-Verbindungen werden offenbar auch Zeritifkate akzeptiert, die gar nicht zu dem angesteuerten Server passen.
Die eingesetzten Zertifikate müssen eine lückenlose Zertifikatskette vorweisen, die sich bis zu einem vertrauenswürdigen Herausgeber zurückverfolgen lässt. Für einen Angreifer, der den verschlüsselten Traffic mitlesen oder manipulieren will, ist dies allerdings keine Hürde. Im Quellcode sorgt offenbar eine doppelt vorhandene Code-Zeile ("goto fail;") dafür, dass der entscheidende letzte Schritt bei der Signaturüberprüfung übersprungen wird.
Apples "Crypto-Fail" soll auch Mac OS X 10.9.1 betreffen, für das derzeit noch kein Update angeboten wird. Ob man betroffen ist, kann man über eine spezielle Test-Seite herausfinden. (bsc)