Der SSL-Bug zieht weite Kreise. Nachdem Apple iOS 7.0.6 (iOS 7.0.6 Jailbreak hier) veröffentlicht hat, um das Problem unter iOS zu beheben, wurde in der Zwischenzeit bekannt, dass auch Mac OS X betroffen ist. Somit sind aktuell bis zum nächsten Update ALLE Computer mit Mac OS X 10.9 nicht sicher! Es kann für die Sicherheit von vermeintlich verschlüsselten Verbindungen (z.B. Online-Banking) NICHT garantiert werden bzw. Daten können innerhalb eigentlich “sicherer” Sitzungen abgefangen und manipuliert werden.
Durch eine “Man in the Middle” Attacke kann sich ein potenzieller Angreifer Zugriff auf die Daten verschaffen, die per SSL übertragen werden. Unter OS X sorgt ein falsch gesetztes gotofail; im Code dafür, dass das oben erwähnte Szenario überhaupt möglich ist. Der Bug scheint mit iOS 6 bzw. OS X Mavericks 10.9 begonnen zu haben und wurde jetzt erst entdeckt.
Auf dieser Test-Seite könnt ihr sehen, ob euer Browser von der SSL-Sicherheitslücke betroffen ist.
Gegenmaßnahmen sind unter OS X zum aktuellen Zeitpunkt leider nicht möglich. Unter iOS haben wir in vergangenen Artikeln bereits empfohlen, SOFORT auf iOS 7.0.6 zu gehen. Ohne Jailbreak ist ein solches Update entweder per iTunes oder ganz bequem OTA möglich.
Wer einen Jailbreak (z.B. unter 7.0.4) hat und keine Lust auf die typische iTunes-Wiederherstellung + Backup-Restore hat, für den gibt es in Cydia vom Entwickler Ryan Petrich jetzt den SSLPatch. Dieser Fix sorgt dafür, dass euer iOS-Gerät auch auf Firmwares < 7.0.6 zu 99% geschützt ist. Die restlichen 1% deshalb, da der SSLPatch in root-Apps (Cydia oder iFile) oder im Safe Mode (Respring-Crash) nicht funktioniert. Ansonsten seid ihr damit aber optimal geschützt.
Wenn ihr den Repo von Ryan Petrich noch nicht installiert habt, geht unter Verwalten auf Quellen und fügt die neue Quelle
http://rpetri.ch/repo
hinzu. Dann die Quellen aktualisieren. Schließlich auf den Reiter Suche in Cydia gehen und nach dem Paket SSLPatch suchen. Diesen installieren, Respring oder Reboot und fertig.