- Registriert
- 18.03.09
- Beiträge
- 9.322
Erst am Freitag hat Apple ein Sicherheits-Update für iOS veröffentlicht (sogar herunter bis zur Gerätegeneration 3GS). Nun stellt sich heraus, dass auch der Safari-Browser unter OSX von dem Problem, das zu dem spontanen Update geführt hat, betroffen ist. Für OSX steht derzeit aber noch kein Update bereit. Die könnte auch im Zusammenhang mit dem baldigen Release von OSX 10.9.2. stehen.[prbreak][/prbreak]
Bei dem Problem handelt es sich um einen Fehler in der Erkennung korrekter SSL/TLS Authentifizierung. Hierbei ist es einem Angreifer möglich, eine mit Malware präparierte Webseite so zu verschleiern, dass ein unbedarfter Nutzer annehmen könnte, sie käme von einer vertrauenswürdigen Instanz. Auf diese Weise kann der so genannte "Man in the middle" den gesamten verschlüsselten Netzwerkverkehr mitlesen und ggf. sogar verändern um Exploits einzufügen, die letztendlich dazu dienen, die Kontrolle über die Maschine zu erlangen.
Adam Langley ist Software Entwickler bei Google und hat den Fehler in seinem Blog genau beschrieben. Außerdem hat er eine Testseite ins Netz gestellt, anhand derer man seinen Browser auf die Schwachstelle hin überprüfen kann. Ein kurzer Test hier in der Redaktion ergab, dass Safari 7.0.1 von dem Problem betroffen ist. Firefox Version 27.0.1 und Google Chrome 33.0.1750.117 melden einen Fehler beim Aufruf der Testseite, was ein korrektes Veralten darstellt.
Sollte der jeweilige Browser beim Aufruf der Testseite die folgende Meldung anzeigen, ist er vom Problem betroffen:
Die Tatsache, dass Apple auf den mobilen Betriebssystemen so schnell reagiert hat, bei OSX aber noch nichts bereitstellt, verleitet zu der Annahme, in der kommenden Woche könnte es das lang ersehnte Update auf OSX 10.9.2. geben, das weitere Fehler behebt. Hier ist mittlerweile die siebte Beta-Version erschienen.
Apple hat am Samstag der Nachrichten-Agentur Reuters bestätigt,dass man an einem Fix für den Monate alten Fehler arbeite.
[UPDATE] Ex-Apple-Spezialist Nick Sullivan warnt in einem Tweet vor dem Einsatz von Safari, weil es bereits erste Seiten gibt, die den Fehler aktiv ausnutzen.
Wir schließen uns dieser Empfehlung an und raten bis zum Fix durch Apple, auf andere Browser auszuweichen.
[UPDATE 2]Die Lücke betrifft nicht nur den Safari-Browser sondern zahlreiche Apps, die sich der Funktion bedienen. Unter anderem werden folgende Apps genannt: Kalender, FaceTime, Keynote, Mail, Twitter, iBooks und Software-Update. Es ist nicht auszuschließen, dass weitere Programme betroffen sind und das die Lücke bereits aktiv ausgenutzt wird.
Via 9To5Mac und eigenem Material
Bei dem Problem handelt es sich um einen Fehler in der Erkennung korrekter SSL/TLS Authentifizierung. Hierbei ist es einem Angreifer möglich, eine mit Malware präparierte Webseite so zu verschleiern, dass ein unbedarfter Nutzer annehmen könnte, sie käme von einer vertrauenswürdigen Instanz. Auf diese Weise kann der so genannte "Man in the middle" den gesamten verschlüsselten Netzwerkverkehr mitlesen und ggf. sogar verändern um Exploits einzufügen, die letztendlich dazu dienen, die Kontrolle über die Maschine zu erlangen.
Adam Langley ist Software Entwickler bei Google und hat den Fehler in seinem Blog genau beschrieben. Außerdem hat er eine Testseite ins Netz gestellt, anhand derer man seinen Browser auf die Schwachstelle hin überprüfen kann. Ein kurzer Test hier in der Redaktion ergab, dass Safari 7.0.1 von dem Problem betroffen ist. Firefox Version 27.0.1 und Google Chrome 33.0.1750.117 melden einen Fehler beim Aufruf der Testseite, was ein korrektes Veralten darstellt.
Sollte der jeweilige Browser beim Aufruf der Testseite die folgende Meldung anzeigen, ist er vom Problem betroffen:
Die Tatsache, dass Apple auf den mobilen Betriebssystemen so schnell reagiert hat, bei OSX aber noch nichts bereitstellt, verleitet zu der Annahme, in der kommenden Woche könnte es das lang ersehnte Update auf OSX 10.9.2. geben, das weitere Fehler behebt. Hier ist mittlerweile die siebte Beta-Version erschienen.
Apple hat am Samstag der Nachrichten-Agentur Reuters bestätigt,dass man an einem Fix für den Monate alten Fehler arbeite.
[UPDATE] Ex-Apple-Spezialist Nick Sullivan warnt in einem Tweet vor dem Einsatz von Safari, weil es bereits erste Seiten gibt, die den Fehler aktiv ausnutzen.
Wir schließen uns dieser Empfehlung an und raten bis zum Fix durch Apple, auf andere Browser auszuweichen.
[UPDATE 2]Die Lücke betrifft nicht nur den Safari-Browser sondern zahlreiche Apps, die sich der Funktion bedienen. Unter anderem werden folgende Apps genannt: Kalender, FaceTime, Keynote, Mail, Twitter, iBooks und Software-Update. Es ist nicht auszuschließen, dass weitere Programme betroffen sind und das die Lücke bereits aktiv ausgenutzt wird.
Via 9To5Mac und eigenem Material
Anhänge
Zuletzt bearbeitet:
)