[Warning] Schwachstelle in Apple Betriebssystemen iOS und Mac OS X

Robert Waldner waldner at cert.at
Mon Feb 24 09:20:48 CET 2014 

24. Februar 2014

Beschreibung

   Das Betriebssystem Apple iOS, das in Geräten zur mobilen
   Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod
   touch eingesetzt wird, enthält in den Bibliotheken, die zur
   verschlüsselten Kommunikation (SSL, HTTPS) benutzt werden,
   Schwachstellen.

   Diese Sicherheitslücke ist auch im Apple Betriebssystem für Personal
   Computer, Mac OS X, enthalten.

   Die Lücke erlaubt es einem Angreifer unter bestimmten Umständen, sich
   in verschlüsselte Verbindungen einzuklinken und die dort
   übertragenen Daten mitzulesen bzw. zu manipulieren.

Auswirkungen

   Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem
   das Auslesen von vertraulichen Informationen (Passwörter,
   Online-Banking-Daten etc.).

Betroffene Systeme

   Von der Schwachstelle betroffen sind folgende Geräte mit dem
   Betriebssystem iOS:
     * alle iOS-7-fähigen Geräte mit iOS 7 vor 7.0.6
     * iPhone 3GS und iPod touch 4G mit iOS 6 vor 6.1.6
     * Apple-TV mit Betriebssystem vor 6.0.2

   sowie Apple Personal Computer mit dem Betriebssystem
     * Mac OS X 10.9.1

Abhilfe

   Für Geräte mit dem Betriebssystem iOS existieren bereits Updates.
   Wir empfehlen, manuell nachzuprüfen, ob diese auch erfolgreich
   installiert wurden.

   Für Mac OS X hat der Hersteller noch keine Updates zur Verfügung
   gestellt - hier ist anzuraten, bis zum Vorliegen von Patches
   zumindest einen anderen Web-Browser zu verwenden, der die
   verwundbaren SSL-Bibliotheken nicht verwendet (etwa Mozilla Firefox
   (http://www.mozilla.com/firefox) oder Google Chrome
   (http://google.com/chrome)).

   Ob ein Gerät für diese Lücke anfällig ist, lässt sich auch über eine
   speziell dafür eingerichtete Webseite herausfinden:
   http://gotofail.com
     __________________________________________________________________

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung bei Heise über iOS 6 und 7

http://www.heise.de/security/meldung/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html
   Meldung bei Heise über Mac OS X

http://www.heise.de/security/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html
   Technische Fehlerbeschreibung bei ImperialViolet (englisch)
   https://www.imperialviolet.org/2014/02/22/applebug.html


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 234 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20140224/5656c772/attachment.sig>

More information about the Warning mailing list