• IT-Karriere:
  • Services:

Apple: iOS erhält SSL-Bugfix, OS X bald auch

Apple hat eine neue Version von iOS 6 und iOS 7 zum Download bereitgestellt, die beide ein Sicherheitsproblem bei SSL-Verbindungen beheben sollen, das alle Vorversionen betrifft. In OS X scheint das Problem ebenfalls zu bestehen, doch hier gibt es noch kein Update.

Artikel veröffentlicht am ,
Sicherheitslücke bei iOS 6 und 7 geschlossen
Sicherheitslücke bei iOS 6 und 7 geschlossen (Bild: Andreas Donath/Golem.de)

Apple hat zwei neue iOS-Versionen sowie ein Update für Apple TV vorgestellt. IOS 7.0.6 (Build 11B651) und iOS 6.1.6 (10B500) schließen eine Sicherheitslücke, die beim Überprüfen der SSL-Verbindung auftrat. Bei vorherigen Versionen ließen sich eigentlich verschlüsselte Daten, die über SSL-/TLS-Verbindungen übertragen werden sollen, abfangen und verändern. Der Grund: Bei der Übertragung wurde die Authentizität der Verbindung nicht überprüft. Mit dem Update wird die Lücke laut Angaben von Apple geschlossen. Die iOS-6-Aktualisierung steht nur für das iPhone 3GS und den iPod Touch 4G zur Verfügung, weil es für diese Geräte kein iOS 7 gibt. Für alle anderen Geräte gilt: Wer sicher sein will, dass die Lücke geschlossen wir, muss auf iOS 7 umsteigen.

Stellenmarkt
  1. ABO Wind AG, Wiesbaden
  2. Jetter AG, Ludwigsburg

Außerdem hat Apple ein Update für Apple TV der zweiten Generation vorgestellt, die diese Lücke ebenfalls schließt. Die aktuelle Version des Betriebssystems von Apples Set-Top-Box lautet nach dem Update 6.0.2.

Die iOS-Updates können über die Softwareaktualisierung von iOS eingespielt werden und stehen auch über iTunes zum Download zur Verfügung.

Nachtrag vom 22. Februar 2014, 20:00 Uhr

Nach einem Bericht auf der privaten Website imperialviolet.org von Adam Langley aus Googles Sicherheitsteam ist auch OS X selbst in der neuen Version 10.9.1 von der Sicherheitslücke betroffen. Ein Codeausschnitt zeigt den Fehler. Hier gibt es allerdings noch kein Update von Apple.

Nachtrag vom 23. Februar 2014, 8:20

Nach Angaben des Sicherheitsexperten Ashkan Soltani ist aber nicht nur Safari gefährdet, sondern auch eine ganze Reihe von anderen OS-X-Applikationen, die das Secure-Transport-Framework einsetzen. Dazu gehört Apples E-Mail-Programm Mail.app, der Kalender und der integrierte Twitter-Client. Bei den Programmen Nachrichten und Facetime ist das Problem allerdings durch die interne Verschlüsselung der Inhalte etwas abgemildert, auch wenn das initiale Handshake durch TLS abgesichert sei, meint Soltani. Auch Apples Updatemechanismus für OS X könnte kompromittiert sein. Gegenüber der Nachrichtenagentur Reuters teilte Apple mit, dass man an einem Update arbeite, das sehr bald erscheinen werde. Bis zu diesem Zeitpunkt sollten Anwender sich nicht über unsichere WLANs und LANs mit dem Internet verbinden und Safari meiden, sondern auf Chrome oder Firefox setzen, die Apples SSL/TLS-Implementierung nicht nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 1.199,00€
  2. 555,55€ (zzgl. Versandkosten)
  3. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...

Anonymer Nutzer 24. Feb 2014

Ich muss ehrlich zugeben das ich mich da zu wenig im Detail auskenne. Ich erinnere mich...

JanZmus 24. Feb 2014

Ach logen

megaseppl 24. Feb 2014

Ja Ich denke schon dass sie es machen. Aber offensichtlich haben sie nicht alle...

zonk 24. Feb 2014

Fein!


Folgen Sie uns
       


iPhone 11 Pro Max - Test

Das neue iPhone 11 Pro Max ist das erste iPhone mit einer Dreifachkamera. Dass sich diese lohnt, zeigt unser Test.

iPhone 11 Pro Max - Test Video aufrufen
Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /