5047642

Apple schließt Sicherheitslücken: Schöne i-Welt gerettet

Apple hat die gravierenden Sicherheitslücken bei seinen Geräten geschlossen. Wer oder was den SSL-Fehler verursacht hat, bleibt offen.

Alle Löcher gestopft: SSL-Kommunikation, Online-Banking und Shopping waren unsicher. Bild: reuters

CUPERTINO dpa | Gefährliche Sicherheitslücken bei Apple-Geräten sorgten vergangenen Woche für Aufsehen. Nun sind die Löcher gestopft, die vermeintlich sichere Verbindungen angreifbar machten. Der Fehler im Mac-Betriebssystem erlaubte es Angreifern unter Umständen, Daten abzufangen, die mit dem sicheren SSL-Protokoll übermittelt werden.

Es wird zum Beispiel beim Online-Banking oder Shopping im Internet benutzt. Die Mac-Anwender müssen dazu ein Software-Update auf die Version OS X 10.9.2 einspielen, die von Apple am Dienstagabend zur Verfügung gestellt wurde.

Der Sicherheitsfehler betraf das aktuelle OS X 10.9 Mavericks. In älteren Mac-OS-X-Versionen bestand der Fehler offenbar nicht. Der „Bug“ sorgte dafür, dass verschlüsselte SSL-Verbindungen in dem Apple-Browser Safari und Programmen wie Mail und Kalender nicht abhörsicher waren.

Beim sicheren Verbindungsaufbau wurde wegen eines Programmierfehlers das Verschlüsselungs-Zertifikat der Gegenseite nicht überprüft. Dies hätte ein Angreifer ausnutzen können, um die Verbindung auszuspähen und zu verändern.

Stoff für Verschwörungstheorien

Am vergangenen Wochenende hatte Apple bereits eine ähnliche Lücke in der Software für iPhone und iPad mit der neuen System-Version iOS 7.0.6 gestopft.

Bislang gibt es keine Angaben dazu, ob und in welchem Umfang die Lücke tatsächlich ausgenutzt wurde. Nach Erkenntnissen von Sicherheitsexperten bestand die Schwachstelle bereits seit 2012. Einige von ihnen wiesen allerdings auch darauf hin, dass sich ein Angreifer wohl im selben WLAN-Netz aufhalten müsste, um die Lücke auszunutzen.

Die gesicherte Kommunikation über SSL stand laut Unterlagen des Informanten Edward Snowden auch im Visier des US-Geheimdiensts NSA. Das befeuerte in den vergangenen Tagen Spekulationen, die fehlerhafte Zeile in Apples Software-Code könnte vom Geheimdienst eingeschleust oder zumindest ausgenutzt worden sein.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • gast

    Gast

    Die NSA wäre auch verdammt dämlich gewesen, sowas ausgerechnet in einem Systembestandteil einzuschleusen, der Open Source ist (ja, das gibt es auch bei Apple) und von jedem gelesen werden kann...

  • Elko

    Gast

    1) Die benutzen sicherlich ein System zur Versionskontrolle bei ihrem Code. Darin sollte sich eindeutig nachlesen lassen, wer wann die Zeile produziert hat (es war nämlich einfach 1 Zeile zu viel).

    2) Da gibt's überhaupt keinen Grund für Verschwörungstheorien. Was die NSA mit SSL machen wollte bzw. gemacht hat ist was vollkommen anderes. Wer sich den Code angesehen hat (https://www.imperialviolet.org/2014/02/22/applebug.html) kann erkennen dass die extra-Zeile mit großer Wahrscheinlichkeit einfach ein Schlampigkeitsfehler war. So was passiert halt wenn man Klammern sparen will.