Apple stopft „Goto fail“-Lücke in Mac OS

Apple hat eine kritische SSL-Lücke mit Verspätung auch in seinem Desktop-Betriebssystem Mac OS X Mavericks durch ein Update geschlossen, das auch eine Reihe weiterer Aktualisierungen enthält. Während es in seinem Mobilbetriebssystem iOS 7 die inzwischen als „Goto fail“-Lücke bekannte Schwachstelle schon mehrere Tage früher beseitigte, blieben Millionen von Mac-Nutzern zunächst weiterhin der Gefahr ausgesetzt, dass Angreifer Daten kompromittieren oder verändern konnten, weil die Echtheit einer verschlüsselten Verbindung nicht überprüft wurde.

Der iPhone-Hersteller erwähnte den Fix nur knapp in in einem Abschnitt zur Datensicherheit von OS X Mavericks 10.9 und 10.9.1. Ein Angreifer war demnach in der Lage, Daten abzufangen oder zu ändern, auch wenn eine Verbindung eigentlich durch SSL/TLS geschützt sein sollte. Das Problem sei behoben worden, indem die fehlenden Schritte zur Überprüfung wiederhergestellt wurden.

Folgenreich wiederholtes „Goto fail“ in Apples Quellcode

Sicherheitsforscher hatten wenig Verständnis für die verzögerte Sicherheitsaktualisierung. „Wer immer sich bei Apple entschied, über vier Tage mit 10.9.2 zu warten, um die Schwachstelle in OS X zu beheben, ist eine Fehlbesetzung in dieser Position“, brachte es der langjährige Apple-Nutzer und CryptoSeal-Gründer Ryan Lackey in einem Tweet auf den Punkt. „Apple braucht eine grundlegend veränderte Unternehmenskultur, um sein ‚Goto fail‘ zu beheben“, kommentierte ZDNet.com-Autor Stilgherrian. Er monierte dabei insbesondere, dass wesentliche SSL-Tests schlicht unterlassen wurden.

Als „Goto fail“-Lücke wurde die Schwachstelle bekannt, weil Apples Programmcode einen relativ simplen, aber doch schwerwiegenden Fehler aufwies. Die Sprunganweisung „Goto fail“ wurde an einer Stelle versehentlich doppelt eingefügt – und damit die vorgesehene Überprüfung der digitalen Signatur verhindert. Das ermöglichte Man-in-the-Middle-Angriffe mit weitreichenden Folgen, wie Sicherheitsforscher Aldo Cortesi mit dem modifizierten Tool Mitmproxy demonstrierte. „Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates“, beobachtete er.

Die Lücke entstand aus Apples angepasster Implementation des Sicherheitsstandards SSL/TLS. Sie betraf daher Daten, die mit Safari, Mail, iCloud oder anderen Anwendungen Apples übertragen wurden, auch wenn die Verbindung als sicher verschlüsselt galt. Nicht betroffen waren hingegen Anwendungen, die sich nicht auf Apples Implementation verließen – Googles Chrome und der Mozilla-Browser Firefox etwa wiesen die Schwachstelle nicht auf.

[mit Material von Declan McCullagh, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.