Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple schließt mit neuem iOS-Update eine SSL-Sicherheitslücke

Mit der Veröffentlichung von iOS 4.3.5 hat Apple eine SSL-Sicherheitslücke geschlossen, mit der Angreifer die verschlüsselte SSL/TLS-Kommunikation ausspähen und modifizieren konnten. Typisch für solche Angriffe muss sich der Kriminelle im Netzwerk zwischen dem Opfer und der eigentlichen Webseite positionieren, beispielsweise in Form eines öffentlichen WiFi-Netzes. Anschließend kann er dem Opfer ein manipuliertes SSL-Zertifikat unterschieben, mit dem er Einsicht in die verschlüsselten Daten erhält. Um dies zu verhindern, hat Apple mit iOS 4.3.5 die Prüfung der SSL-Zertifikate verbessert und prüft nun die Gültigkeit aller Stellen eines verketteten Zertifikates. Vor zehn Tagen hatte Apple bereits mit Veröffentlichung von iOS 4.3.4 mehrere Sicherheitslücken geschlossen, die sich zur Einschleusung schädlicher Programmeinweisungen eigneten. Durch ein manipuliertes PDF-Dokument hatten Hacker die Lücken bereits für einen Web-basierten Jailbreak ausgenutzt, um auf Wunsch des Nutzers den alternative App Store "Cydia" auf iPad, iPhone oder iPod touch zu installieren.

Weiterführende Links:
Offizielle TSMC-Ankündigung: Die nächsten großen Schritte
Offizielle TSMC-Ankündigung: Die nächsten große...
iPhone 16: Angeblich alle Akkugrößen durchgesickert
iPhone 16: Angeblich alle Akkugrößen durchgesic...
Test FiiO R9
Test FiiO R9
Weitere Apple-Prozessoren geplant: Entwicklung von Serverchips
Weitere Apple-Prozessoren geplant: Entwicklung ...
Apples Quartalsergebnis
Apples Quartalsergebnis
NonUI, LLDiag, InternalUI – Die geheimen Versionen des iPhone-Betriebssystems
NonUI, LLDiag, InternalUI – Die geheimen Versio...
Update-Abend: Apple gibt macOS 14.4, watchOS 10.4 und tvOS 17.4 in der finalen Version frei
Update-Abend: Apple gibt macOS 14.4, watchOS 10...
Steht ein "Apple Smart Ring" kurz vor Veröffentlichung?
Steht ein "Apple Smart Ring" kurz vor Veröffent...

Kommentare

o.wunder
o.wunder26.07.11 09:38
Prima das Apple nun schneller als in vergangener Zeit auf Sicherheitslücken reagiert.
0
markuspb15g4
markuspb15g426.07.11 10:18
Freut mich wenn das jetzt so schnell geht. Endlich reagiert Apple auf diesen Kritikpunkt!
0
TechID26.07.11 10:31
Das 3G ist von dieser Sicherheitslücke nicht betroffen
0
Klaus160226.07.11 10:33
Ich habe erst seit Oktober 2010 einen ipad und seit April 2011 einen Mac mini.
Meine Frau hat seit Mai 2011 einen iPad 2.
Aus diesem Grund wird der PC nicht mehr viel genutzt ( nur noch für Programme, die nicht mit dem Mac kompatibel sind ).
Die Updates sind zwar lästig ( ich hoffe, nicht so oft wie bei Microsoft ), aber für die Sicherheit bringen wir gerne Opfer.
Der Computer ist nur ein Hilfsmittel. Für das Denken ist der Mensch da.
0
Hannes Gnad
Hannes Gnad26.07.11 11:03
Ein Sicherheitsupdate als "Opfer" zu sehen ist etwas seltsam.
0
eiPätt26.07.11 11:12
@ TechID

Das 3G bekommt keine Updates mehr
0
Tiger
Tiger26.07.11 12:11
Dass das nächste Update so schnell kam liegt wohl eher daran, dass Apple aufgrund der vielen negativen Berichte zum Thema Ortsdatenspeicherung auf dem iPhone schnell handeln musste und somit 4.3.4 "einschob" und dabei auch die seit vielen Wochen bekannte PDF-Lücke schloss.

Ich denke, Apple wird seine Politik, was die Häufigkeit und Schnelligkeit von Sicherheitsupdates angeht nicht ändern. Frühestens mit iOS 5 wenn nicht mehr das gesamte System neu installiert werden muss wegen jeder kleinen Lücke. Aber selbst auf dem Mac lässt sich Apple gerne viel Zeit. So nach dem Motto: "Wenn wir zu viele Sicherheitsupdates rausschicken sieht es so aus als wäre Mac OS X unsicher und voller Fehler".
0
Peco26.07.11 12:17
Gestern schimpfen alle noch über Adobe, die nicht schnell genug für Lion updaten, und nun sowas... 9 Jahre alte Lücke.

Weiter gute Besserung!

0
StdOut26.07.11 12:30
Hannes Gnad

Naja, das mögen wir so sehen. Der Ottonormaluser, der sich nicht für die Technik interessiert sieht es eher als lästig an. Dies bestätigt aber einmal mehr, wie wichtig die Neuerung in iOS5 bzgl. Delta Updates und "over the Air" sein wird.
0
Hannes Gnad
Hannes Gnad26.07.11 12:44
Stimme Dir da vollkommen zu. Genau aus diesem Grund fährt Apple gerade mit Volldampf in Richtung "Consumerisierung der IT", siehe Lion, Lion Server, iCloud und Co. Die echten und selbsternannten Pros mögen jammern, die IT Nerds maulen und die Geeks den Untergang des Apfels beschwören, aber man muß es einsehen: Der "Rest of us" zählt, für sie werden die neuen Produkte entwickelt, und wir Nerds und Dienstleister haben die Aufgabe zu helfen, und nicht eine obere Kaste darzustellen.
0
Tiger
Tiger26.07.11 14:03
Mit Nerds und Pros kann man kein Geld verdienen. Dazu muss man schon in den Consumermassenmarkt. Und genau dahin steuert Apple. Nerds gibt es zu wenige und Pros jammern zu viel und kaufen im Vergleich zum Consumer weniger und sind auch weniger bereit auf neue Systeme, neue Hard- und Software zu wechseln. Apple macht es also richtig - raus aus dem Nieschenmarkt und in den Consumermarkt, da ist das Geld zu Hause.
0
StdOut26.07.11 14:39
Darueber hinaus...

Die wirklichen Pros und Geeks werden sich ihr System schon einrichten können. Gott sei Dank haben wir ja alle die Power des Terminals. Bei uns hier im Büro steht ein Mac der im Grunde nur NFS und FTP Freigaben und SVN bedient. Das ist nicht einmal OS X Server, all das und mehr kann man doch ganz genauso auf der Clientversion einrichten. Fühlt sich dann vielleicht ein wenig mehr wie eine Linux Distribution an als eine Apple Lösung aber es funktioniert.
0
TechID26.07.11 14:43
eiPätt
eben deswegen ist das 3G nicht von dieser Sicherheitslücke betroffen
0
sierkb26.07.11 21:58
heise: Apples iOS anfällig für neun Jahre alte SSL-Schwachstelle :
heise
Neu ist dieses Problem nicht: Bereits vor neun Jahren waren Webkit-Browser und Programme auf Basis der Microsoft CryptoAPI (Internet Explorer, Outlook und Co.) aufgrund der unzureichenden Validierung durch Man-in-the-middle-Angriffe (MITM) verwundbar. Derartige Angriffe kann man etwa mit dem Tool sslsniff testen.
heise
Entdeckt wurde die Schwachstelle von dem Sicherheitsexperten Gregor Kopf, dessen Firma Recurity Labs offenbar im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) Sicherheitsaspekte von iOS evaluiert. Als Mitentdecker gibt Apple den Experten Paul Kehrer von Trustwave an.
0
sierkb27.07.11 09:36
heise: Test für Verschlüsselungs-Bug des iPhone

The Recurity Lablog: CVE-2011-0228 iOS certificate chain validation issue in handling of X.509 certificates
[..]
To test whether your iOS version is vulnerable, Recurity Labs has set up a Web site: https://iSSL.recurity.com . If the Safari browser on your iDevice allows you to visit this site without issuing a warning, your device is vulnerable. The certificate for this site was created using the above described technique. Please feel free to validate this by inspecting the certificate that the HTTP server supplies to you.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.