[Warning] Schwachstelle in Apple Betriebssystemen iOS und Mac OS X
Robert Waldner
waldner at cert.at
Mon Feb 24 09:20:48 CET 2014
24. Februar 2014
Beschreibung
Das Betriebssystem Apple iOS, das in Geräten zur mobilen
Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod
touch eingesetzt wird, enthält in den Bibliotheken, die zur
verschlüsselten Kommunikation (SSL, HTTPS) benutzt werden,
Schwachstellen.
Diese Sicherheitslücke ist auch im Apple Betriebssystem für Personal
Computer, Mac OS X, enthalten.
Die Lücke erlaubt es einem Angreifer unter bestimmten Umständen, sich
in verschlüsselte Verbindungen einzuklinken und die dort
übertragenen Daten mitzulesen bzw. zu manipulieren.
Auswirkungen
Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem
das Auslesen von vertraulichen Informationen (Passwörter,
Online-Banking-Daten etc.).
Betroffene Systeme
Von der Schwachstelle betroffen sind folgende Geräte mit dem
Betriebssystem iOS:
* alle iOS-7-fähigen Geräte mit iOS 7 vor 7.0.6
* iPhone 3GS und iPod touch 4G mit iOS 6 vor 6.1.6
* Apple-TV mit Betriebssystem vor 6.0.2
sowie Apple Personal Computer mit dem Betriebssystem
* Mac OS X 10.9.1
Abhilfe
Für Geräte mit dem Betriebssystem iOS existieren bereits Updates.
Wir empfehlen, manuell nachzuprüfen, ob diese auch erfolgreich
installiert wurden.
Für Mac OS X hat der Hersteller noch keine Updates zur Verfügung
gestellt - hier ist anzuraten, bis zum Vorliegen von Patches
zumindest einen anderen Web-Browser zu verwenden, der die
verwundbaren SSL-Bibliotheken nicht verwendet (etwa Mozilla Firefox
(http://www.mozilla.com/firefox) oder Google Chrome
(http://google.com/chrome)).
Ob ein Gerät für diese Lücke anfällig ist, lässt sich auch über eine
speziell dafür eingerichtete Webseite herausfinden:
http://gotofail.com
__________________________________________________________________
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung bei Heise über iOS 6 und 7
http://www.heise.de/security/meldung/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html
Meldung bei Heise über Mac OS X
http://www.heise.de/security/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html
Technische Fehlerbeschreibung bei ImperialViolet (englisch)
https://www.imperialviolet.org/2014/02/22/applebug.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 234 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20140224/5656c772/attachment.sig>
More information about the Warning
mailing list