Die schwere Schwachstelle war am Freitag erstmals n�her beschrieben worden, als Apple ein kritisches Update f�r sein mobiles Betriebssystem iOS ver�ffentlichte. Seitdem wurde bekannt, dass die L�cke auch das Desktop-Betriebssystem von Apple betrifft.
Zwar vergingen nur wenige Tage, bis Apple tats�chlich mit der Verbreitung eines Updates beginnt, das die L�cke schlie�t, doch wahrscheinlich bestand seit Monaten oder gar noch l�nger eine breite Angriffsfl�che. Das Problem betrifft offenbar s�mtliche noch unterst�tzte Ausgaben von Mac OS X.
Im Fall von OS X Mavericks und Mountain Lion soll das neue Update schnelle Abhilfe bringen. F�r Nutzer von Mac OS 10.9.2 "Mavericks" wird der Patch als Teil eines gr��eren Updates bereitgestellt, das dar�ber hinaus eine Reihe von kleineren Verbesserungen f�r die Apple-eigenen Anwendungen Mail, iMessage und Safari, sowie eine Funktion zum Starten und Annehmen von Telefonaten �ber FaceTime mitbringt.
Der Bug in iOS und Mac OS X erhielt schnell den "Spitznamen" "Goto Fail" in Anlehnung an die fehlerhafte Codezeile, die ihn ausl�ste. Der Fehler betrifft grunds�tzlich alle Anwendungen, die Apples SSL-Bibliothek SecureTransport nutzen, darunter auch FaceTime, Mail und Calendar. Nach Angaben von Sicherheitsexperten bestand der Fehler wohl schon seit September 2012, als die SSL-Bibliothek zusammen mit iOS 6 ver�ffentlicht wurde.
Durch den Fehler werden SSL-Zertifikate in Verbindung mit SecureTransport nicht ordnungsgem�� gepr�ft, so dass sich theoretisch eine beliebige Website als die Bank des Kunden oder dessen E-Mail-Anbieter ausgeben k�nnte. Die tats�chliche Bedrohung scheint jedoch kleiner zu sein als aufgrund der Zahl betroffener Systeme vielleicht anzunehmen w�re. Ein Angreifer muss innerhalb der Reichweite des vom Anwender genutzten WLANs sein, so dass man sich im Grunde durch die Nutzung von privaten Zug�ngen sch�tzen kann.
Keine Kommentare:
Kommentar veröffentlichen