Fehlerhafte SSL Verschlüsselung auf Apple Geräten

Veröffentlicht am von

SSL Verbindungen die Apples Betriebssysteme aufbauen sind anfällig für untergeschobene Sitzungsschlüssel. Verbindungen die vermeintlich sicher sind, können demnach kompromittiert werden

Pressemeldung der Firma icertificate GmbH

Seit Freitag, dem 21.02.2014 macht eine Sicherheitslücke die Runde, welche bei Apples Betriebssystemen die Überprüfung einer ‪TLS/SSL Verbindung für Angriffe öffnet. Dabei ist nicht nur das mobile Betriebssystem iOS betroffen. Es stellte sich heraus, dass auch Apples Mac OS X zumindest in der Version 10.9.1 ebenfalls anfällig ist.

Der Fehler liegt hier in der Implementierung der Prüfung des Sitzungsschlüssels. Dabei kommt es zu einem zweiten „goto“ Aufruf, der aber schon nicht mehr im Scope der if-Verzweigung liegt, zu welcher er vermeintlich zu gehören scheint. Tatsächlich führt dieser Aufruf dazu, dass in jedem Fall ein Sprung über die finale Prüfung erfolgt und so jeder Sitzungsschlüssel akzeptiert wird.

Dies führt dazu, dass die Überprüfung des Sitzungsschlüssels ausgehebelt wird. Auf diese Weise kann dem Anwender ein Sitzungsschlüssel untergeschoben werden, was wiederum bedeutet, dass man sich nicht mehr sicher sein kann, wem dieser tatsächlich gehört, wer den Datenverkehr mitliest, beziehungsweise ob dieser manipuliert wurde.

Details zu dieser Lücke und wie sie ausgenutzt werden kann, erklärt ImperialViolet. Hier findet sich ebenfalls ein Link, mit dem kontrolliert werden kann, ob das eigene System empfänglich für diese Sicherheitslücke ist.

Für das mobile Betriebssystem iOS existiert bereits seit Freitag ein Update, dass dringend eingespielt werden muss, wenn einem die Sicherheit der eigenen Daten wichtig ist.

Zumindest die Mac OS X Version 10.9.1 ist von dem Fehler betroffen. Nutzer des Betriebssystems Mac ‪‎OS X‬ sollten daher momentan auf alternative Browser wie Google ‪‎Chrome‬ oder Mozilla ‪Firefox‬ ausweichen, da auch der ‪‎Safari‬ anfällig für diesen Fehler ist. Chrome und Firefox sind von dem Systemfehler nicht betroffen, weil sie auf eine andere SSL Implementierung – in diesem Fall NSS – setzen.

Weitere Details dazu auch auf icertificate



Firmenkontakt und Herausgeber der Meldung:
icertificate GmbH
Nordstrasse 73a
53111 Bonn
Telefon: +49 (228) 90907050
Telefax: +49 (228) 90907030
https://icertificate.eu

Ansprechpartner:
Henning Eiden
CEO
+49 (228) 90907050



Dateianlagen:
    • © crimson - Fotolia.com
Die icertificate GmbH ist ein führender Distributor für digitale Verschlüsselung. Das Unternehmen bietet privaten wie gewerblichen Webseitenbetreibern günstige Konditionen für namhafte SSL-Zertifikate, PKI, Emailsignaturen und Trust-Seals. Das heutige Angebot umfasst unter anderem Produkte von Symantec, GeoTrust, Comodo, DigiCert, Thawte, GlobalSign, RapidSSL und AlphaSSL.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.