Sicherheitsupdate für iOS 6 und 7 Update

[Christoph]

Zitat:

Apple hat außer der Reihe eine wichtige Security-Aktualisierung für die letzten beiden Hauptversionen seines Mobilbetriebssystems für iPhone, iPod touch und iPad vorgelegt. Apple-TV-Geräte sind auch betroffen.

Um eine sicherheitsrelevante Lücke zu stopfen, hat Apple am Freitagabend eine Aktualisierung für iOS 6, iOS 7 und die Apple-TV-Firmware vorgelegt. Der Bug scheint akut zu sein: Wie der Konzern in einem Advisory schreibt, war es Dritten potenziell möglich, geschützte SSL/TLS-Sitzungen abzufangen oder gar zu modifizieren, wenn sich diese in einer "privilegierten Netzwerkposition" befinden – damit ist vermutlich das gleiche lokale Netzwerk gemeint.

Laut Apple gelingt es der Secure Transport-Routine in manchen Fällen nicht, die Authentizität der verschlüsselten Verbindung korrekt zu validieren. Das Update soll die fehlenden beziehungsweise fehlerhaft arbeitenden Überprüfungsschritte nachliefern.

Nach dem Update aktuell sind jeweils iOS 7.0.6 (alle iOS-7-fähigen Geräte) und iOS 6.1.6 (iPhone 3GS und iPod touch 4G). Die ausgebesserte Apple-TV-Software trägt die Versionsnummer 6.0.2. Die Aktualisierung ist recht klein, auf einem iPhone 5 misst sie beispielsweise nur knapp 35 MByte. Nutzer sollten baldmöglichst aktualisieren.

Update vom 22.4., 19 Uhr:
Inzwischen sind weitere Details über die Schwachstelle bekannt. Demnach patzt iOS beim Überprüfen der Signatur von SSL-Zertifikaten. Beim Aufbau von SSL-Verbindungen werden offenbar auch Zeritifkate akzeptiert, die gar nicht zu dem angesteuerten Server passen.

Die eingesetzten Zertifikate müssen eine lückenlose Zertifikatskette vorweisen, die sich bis zu einem vertrauenswürdigen Herausgeber zurückverfolgen lässt. Für einen Angreifer, der den verschlüsselten Traffic mitlesen oder manipulieren will, ist dies allerdings keine Hürde. Im Quellcode sorgt offenbar eine doppelt vorhandene Code-Zeile ("goto fail;") dafür, dass der entscheidende letzte Schritt bei der Signaturüberprüfung übersprungen wird.

Apples "Crypto-Fail" soll auch Mac OS X 10.9.1 betreffen, für das derzeit noch kein Update angeboten wird. Ob man betroffen ist, kann man über eine spezielle Test-Seite herausfinden. (bsc)

Quelle: http://www.heise.de/newsticker/meldu...7-2121441.html

Hat´s sogar bis in den ORF-Teletext geschafft
Apple warnt vor Sicherheitslücke

[Gubi]

auch orf.at

[Christoph]

SSL-Lücke in Apple-Systemen: Was Sie jetzt tun können

Zitat:

Das in iOS und OS X entdeckte Verschlüsselungsproblem sorgt für Verunsicherung bei vielen Nutzern. Mit Verhaltensänderungen lässt sich zumindest teilweise Abhilfe schaffen.

Die Lücke, die Apples SSL-Implementierung enthält, stelt ein schwerwiegendes Problem für iOS und OS X dar – Angreifer im gleichen Netz wie der Nutzer könnten verschlüsselte Verbindungen belauschen oder manipulieren. Sechs Hinweise, was Sie jetzt tun sollten:

1. Nutzer unter iOS müssen schnellstmöglich auf iOS 7.0.6 beziehungsweise iOS 6.1.6 aktualisieren, die beide geschützt sind. Allerdings sind diese Aktualisierungen nur für (alle) zu iOS 7 kompatiblen Geräte sowie für die iOS-6-Modelle iPhone 3GS und iPod touch 4G zu haben. Verwender älterer Hardware bleiben ungeschützt.
2. Apple-TV-Besitzer ab Generation 2 spielen die Apple-TV-Software 6.0.2 auf ihren Geräten ein. Auch diese schützt vor der Lücke.
3. Wer sein iOS-Gerät mit einem Jailbreak ausgerüstet hat und deshalb nicht aktualisieren möchte, kann einen SSLPatch aus Cydia herunterladen – wie üblich auf eigene Gefahr.
4. Wer ältere OS-X-Versionen wie Mountain Lion oder Snow Leopard verwenden, ist von der SSL-Lücke nicht betroffen, sie wurde von Apple erst mit OS X Mavericks in das Betriebssystem eingeführt.
5. Nutzer von OS X Mavericks sind ungeschützt, solange Apple keinen Sicherheitspatch anbietet. Das gilt für Systemfunktionen wie Mac App Store, Twitter- und Facebook-Anbindung, aber auch iMessage. Hier hilft nur warten; experimentierfreudige Nutzer können einen experimentellen Patch des deutschen Sicherheitsforschers Stefan Esser einspielen, allerdings nur auf eigene Gefahr, wie Esser selbst betont.
6. Das Surfen im Web lässt sich unter OS X Mavericks absichern, in dem man nicht zu Safari greift, sondern alternative Browser wie Chrome oder Firefox verwendet. Diese setzen auf ihre jeweils eigene SSL-Implementation.

Mac & i hält Sie auf dem Laufenden und meldet, sobald Apple ein Sicherheitsupdate für OS X Mavericks bereitstellt. (bsc)

Quelle: http://www.heise.de/newsticker/meldu...n-2122204.html

[Christoph]

"goto fail": Mac OS X 10.9.2 beseitigt SSL-Schwachstelle Update

Zitat:

Das frisch veröffentlichte OS-X-Update soll das gravierende SSL-Problem beseitigen, welches verschlüsselte Verbindungen angreifbar macht. Version 10.9.2 bringt zudem kleinere Neuerungen.
........

Apple hat Mac OS X 10.9.2 freigegeben – das Update lässt sich über den Mac App Store beziehen. Es beseitigt einen schwerwiegenden Fehler beim Aufbau von SSL-Verbindungen – die fehlenden Validierungsschritte seien wieder hergestellt, schreibt der Mac-Hersteller.

[Update 25.02.2014 20:00 Uhr] Neben der SSL-Lücke beseitigt OS X 10.9.2 eine Reihe weiterer Schwachstellen. Für Nutzer von Mac OS X 10.8.5 Mountain Lion sowie 10.7.5 Lion steht eine eigenständige Sicherheitsaktualisierung 2014-001 zum Download bereit. Die Updates stopfen unter anderem Angriffspunkte in Apache sowie PHP und verschiedene Wege, um die App-Sandbox zu umgehen.

Apple hat außerdem die Root-Zertifikate aktualisiert und verschiedene Schwachstellen in CoreAnimation, CoreText, QuickLook, QuickTime und File Bookmark ausgeräumt, die möglicherweise das Ausführen von Schadcode ermöglichen. Durch einen Secure-Transport-Schwachpunkt sei ein Angreifer auch in OS X 10.8.5 Mountain Lion unter Umständen in der Lage, SSL-verschlüsselte Daten zu entschlüsseln, schreibt Apple – das Update soll dies beheben.

Version 10.9.2 umfasst außerdem Safari in neuer Version 7.0.2 – die neue Version des Browsers schließt mehrere Schwachstellen in WebKit, die unter Umständen das Einschleusen von Schadcode bei Aufruf einer Webseite erlauben. Nutzer von OS X 10.8.5 und 10.7.5 sollten Safari 6.1.2 einspielen, dort ist diese Lücke laut Apple ebenfalls behoben. (lbe)

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...e-2122971.html