Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple will SSL-Lücke im Push-Dienst Ende Oktober schließen

Im Entwickler-Portal hat Apple angekündigt, die kürzlich bekannt gewordene SSL3-Sicherheitslücke "POODLE" (Padding Oracle On Downgraded Legacy Encryption) zum Ende des Monats auch im Push-Dienst zu schließen. Bislang können App-Server auch mittels veraltetem SSL3 Push-Nachrichten mit Statusinformationen an iOS-Geräte und Macs übermitteln, was ab dem 29. Oktober dann nicht mehr möglich sein wird. Stattdessen wird ab diesem Zeitpunkt nur noch der modernere SSL-Nachfolger TLS unterstützt.

Hacker können mithilfe der SSL3-Lücke verschlüsselte Nachrichten mit einem Man-in-the-Middle-Angriff entschlüsseln und manipulieren, indem die Verbindung auf unsichere Verschlüsselungsverfahren heruntergestuft wird. Apple hat die Lücke bereits mit OS X 10.10 Yosemite sowie dem Security Update 2014-005 für OS X 10.9 Mavericks und OS X 10.8 Mountain Lion geschlossen. Auch in iOS 8.1 und der Apple-TV-Firmware 7.0.1 lässt sich die SSL3-Lücke nicht mehr ausnutzen.

Weiterführende Links:

Kommentare

Dirk!23.10.14 09:43
Apple hat die Lücke bereits mit OS X 10.10 Yosemite sowie dem Security Update 2014-005 für OS X 10.9 Mavericks und OS X 10.8 Mountain Lion geschlossen. Auch in iOS 8.1 und der Apple-TV-Firmware 7.0.1 lässt sich die SSL3-Lücke nicht mehr ausnutzen.

Ja, das dachte ich eigentlich auch. Warum meldet dann die „offizielle“ Poodle-Testseite bei Safari immer noch „vulnerable“?
0
MetallSnake
MetallSnake23.10.14 10:09
Dirk!
Ja, das dachte ich eigentlich auch. Warum meldet dann die „offizielle“ Poodle-Testseite bei Safari immer noch „vulnerable“?

Steht doch da:

Apple stated that the Safari update released on Oct 17th no longer allows block ciphers via SSLv3. The test site (on purpose) only supports block ciphers as they are vulnerable to POODLE. However, my testing so far shows that Safari will still connect to the test site using ciphers like AES256. Safari should show up as not-vulnerable if it only supports stream ciphers over SSLv3.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
ctismer
ctismer23.10.14 10:19
Und das ist sowohl bei OS X als auch iOS das gleiche Ergebnis:
Safari zeigt den Pudel, Chrome den Terrier.

Ganz unparteiisch: irgendwer spinnt hier. Entweder Apple hat es nicht richtig gefixt oder die Webseite prüft falsch. Auszug aus der Seite, zu Safari:
Apple stated that the Safari update released on Oct 17th no longer allows block ciphers via SSLv3. The test site (on purpose) only supports block ciphers as they are vulnerable to POODLE. However, my testing so far shows that Safari will still connect to the test site using ciphers like AES256. Safari should show up as not-vulnerable if it only supports stream ciphers over SSLv3.
Ist das jetzt eine Lüge oder ein Irrtum, und von wem?
0
ExMacRabbitPro23.10.14 10:22
Ja wie jetzt? Eine News zum Thema Apple und Security und bisher kein Post von sierkb?
Ist er krank?
0
Dirk!23.10.14 10:42
MetallSnake
Steht doch da:

Apple stated that the Safari update released on Oct 17th no longer allows block ciphers via SSLv3. The test site (on purpose) only supports block ciphers as they are vulnerable to POODLE. However, my testing so far shows that Safari will still connect to the test site using ciphers like AES256. Safari should show up as not-vulnerable if it only supports stream ciphers over SSLv3.

Da steht, dass es einen Widerspruch gibt, den es zu klären gilt. Das heißt für mich, man sollte nicht wie MTN einfach schreiben „alles OK", sondern den Widerspruch klären oder darauf hinweisen!
0
ctismer
ctismer23.10.14 11:29
Also ich hab nochmal das Dokument vom Apple-Support durchgelesen,
aber so wirklich schlau werde ich daraus nicht, ob es jetzt den Fehler behebt oder nur eine Vorbereitung ist.

http://support.apple.com/kb/HT6531

nach dem was jetzt bei developer.apple.com gemeldet wird, wird zum 29.10.14 die Verwendung von SSL3 komplett eingestellt eingestellt und durch TLS ersetzt.

https://developer.apple.com/news/?id=10222014a

Möglicherweise war diese Aktion zweistufig, und die Aktualisierung vor ein paar Tagen war ein vorbereitender Schritt, irgendwelche Apps müssen vielleicht noch rechtzeitig vorher umgestellt werden?
0
MetallSnake
MetallSnake23.10.14 12:02
Dirk!
Da steht, dass es einen Widerspruch gibt, den es zu klären gilt. Das heißt für mich, man sollte nicht wie MTN einfach schreiben „alles OK", sondern den Widerspruch klären oder darauf hinweisen!

Also für mich klingt dies
Safari (...) no longer allows block ciphers via SSLv3 (...) Safari will still connect to the test site using ciphers like AES256. Safari should show up as not-vulnerable if it only supports stream ciphers over SSLv3.
so, dass Safari per AES256 auf die Seite verbindet, der Fehler aber nur SSLv3 betrifft und diese Verbindung nicht mehr genutzt wird.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.