Feature Nach Update für iOS, auch OSX von kritischer Sicherheitslücke betroffen

[smoe]

Eine Frage aber bleibt: Wie ist es möglich, dass so ein kapitaler Fehler entsteht und bei x Pre-Releases, Tests usw. nicht auffällt?

Fehler passieren immer wenn Menschen involviert sind. In den Betaversionen stecken tausende Fehler, die allermeisten davon werden gefunden und behoben, aber eine Handvoll bleibt immer unentdeckt, und manchmal eben ein kritischer. Moderne Betriebssysteme sind unglaublich komplex, da ist sowas nicht zu vermeiden.

 

[Balkenende]

In anderen Foren hat man die Fehlerhafte (doppelte) Programmzeile mal genauer unter die Lupe genommen.

Heißt, auch der Zeitpunkt, wann das vorhanden war und wann nicht.

Es sieht fast so aus, als wenn das glatte Absicht war. Zwischen zwei Versionen ist dieser merkwürdige Doppler aufgetaucht. Und all die Zeilen drumrum wurden bei der Änderung zwischen den Versionen nicht angetastet.

Damit steht der Verdacht im Raum, jemand hat diese Duplizierung bewusst eingesetzt. Resultat, die Doppelung hat zur Folge, dass die relevante SSL-Funktion sich selbst eliminiert.

Wahnsinn, wenn das wirklich Absicht war - was dann auch erklärt, warum es nicht auffiel.

Ist bisher eine Theorie, aber sie klingt verdammt schlüssig.

 

[echo.park]

Mountain Lion ist nicht betroffen und Mavericks wird gratis verteilt, mit dem Anspruch "so viele User wie möglich zu erreichen". Im Hinblick auf den NSA-Skandal kann man sich da so seine Gedanken machen.

 

[tjp]

Aber wie kann ich als Laie heraus finden ob ich infiziert wurde oder ob meine Daten abgefangen wurden?

Als Laie ist das faktisch nicht möglich, da mit hoher Wahrscheinlichkeit auch die Softwareupdatefunktionalität auf diese SSL Library zurückgreift (Weiß da jemand mehr?), und das heißt effektiv kann im Rahmen eines "Softwareupdates" ein Rootkit bestimmten Nutzern untergeschoben worden sein. In so einem Fall hilft nur noch die Komplettinstallation des OS von einem sauberen Medium. Aber nur dann wenn es sich nicht um ein (U)EFI Rootkit handelt, das ist faktisch nicht mehr vom System zu bekommen.

 

[FritzS]

http://www.heise.de/newsticker/meld...le-verspricht-Update-2121738.html?wt_mc=nl.ho

Hier ein Patch Versuch
http://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html

Auf meinem MBP 10.9.1
https://gotofail.com/
Safari - unsicher
iCab - unsicher
Chrome und Opera - mit Warnung auf das restliche System, sicher
Firefox und SeaMonkey - sicher

 

[speedlimiter]

Was ist denn nun euer Rat, nachdem noch mehr Apps betroffen sind? Soll man sich wieder Alternativen suchen?

Einfach Ruhe bewahren und vom Surfen in unbekannten Netzen absehen.

 

[FritzS]

Normales Surfen (ohne SSL) ist ja davon nicht betroffen und ich verwende sowieso Script Blocker und Little Snitch - plus eine große Vorsicht vor verdächtigten Seiten.

PS: Ich habe nun wieder meinen eigenen lokalen NS (BIND named selbst kompiliert, nachdem ihn Apple aus Mavericks entfernte) zu Laufen gebracht, schon sonderbar wohin WEB Seiten noch überall hin verbinden - zu sehen im named queries.log

 

[Floyd05]

Zwie Fragen bzw. Anmerkungen:

1. Wenn ich das richtig sehe, komme ich auf einem iPhone 4S wohl nicht um eine Update auf iOS 7 herum – welches ich aus diversen Gründen bisher bewusst vermieden habe und gerne weiter so handhaben wollte. 6.1.6 ist nur für das 3GS, bedeutet aber auch, dass das 4S unter 6.1.3 eben auch vom Leck betroffen sein kann. Meinungen oder Empfehlungen hierzu?

2. Auch für das Apple TV existiert ein Update. Das ist mir gestern nur aufgefallen, da eine Streaming-Übertragung x-mal abgebrochen ist und das ATV im Anschluss immer ein Software-Update wollte (obwohl ich die autom. Aktualisierung ausgeschaltet hatte), was dann auch erst im vierten Versuch geklappt hat. Seltsam?

 

[Martin Wendel]

Meinungen oder Empfehlungen hierzu?

Update installieren!

 

[tjp]

Einfach Ruhe bewahren und vom Surfen in unbekannten Netzen absehen.

Das nützt nichts. Das Surfen über https ist mit Firefox unter 10.9.x immer noch problemlos möglich, weil Firefox eine andere SSL Library nutzt. Viel schlimmer sind die ganzen anderen Applikationen, die angreifbar sind. SoftwareUpdate nutzt das auch, so daß es möglich ist manipulierte Softwarepakete unterzuschieben, die dann zwar auch noch manipuliert sein müssen, aber das ist für bestimmte Organisationen kein Problem.