Fehlerhafte SSL Verschlüsselung auf Apple Geräten
ID: 1023781
SSL Verbindungen die Apples Betriebssysteme aufbauen sind anfällig für untergeschobene Sitzungsschlüssel. Verbindungen die vermeintlich sicher sind, können demnach kompromittiert werden
(PresseBox) - Seit Freitag, dem 21.02.2014 macht eine Sicherheitslücke die Runde, welche bei Apples Betriebssystemen die Überprüfung einer ?TLS/SSL Verbindung für Angriffe öffnet. Dabei ist nicht nur das mobile Betriebssystem iOS betroffen. Es stellte sich heraus, dass auch Apples Mac OS X zumindest in der Version 10.9.1 ebenfalls anfällig ist.
Der Fehler liegt hier in der Implementierung der Prüfung des Sitzungsschlüssels. Dabei kommt es zu einem zweiten "goto" Aufruf, der aber schon nicht mehr im Scope der if-Verzweigung liegt, zu welcher er vermeintlich zu gehören scheint. Tatsächlich führt dieser Aufruf dazu, dass in jedem Fall ein Sprung über die finale Prüfung erfolgt und so jeder Sitzungsschlüssel akzeptiert wird.
Dies führt dazu, dass die Überprüfung des Sitzungsschlüssels ausgehebelt wird. Auf diese Weise kann dem Anwender ein Sitzungsschlüssel untergeschoben werden, was wiederum bedeutet, dass man sich nicht mehr sicher sein kann, wem dieser tatsächlich gehört, wer den Datenverkehr mitliest, beziehungsweise ob dieser manipuliert wurde.
Details zu dieser Lücke und wie sie ausgenutzt werden kann, erklärt ImperialViolet. Hier findet sich ebenfalls ein Link, mit dem kontrolliert werden kann, ob das eigene System empfänglich für diese Sicherheitslücke ist.
Für das mobile Betriebssystem iOS existiert bereits seit Freitag ein Update, dass dringend eingespielt werden muss, wenn einem die Sicherheit der eigenen Daten wichtig ist.
Zumindest die Mac OS X Version 10.9.1 ist von dem Fehler betroffen. Nutzer des Betriebssystems Mac ??OS X? sollten daher momentan auf alternative Browser wie Google ??Chrome? oder Mozilla ?Firefox? ausweichen, da auch der ??Safari? anfällig für diesen Fehler ist. Chrome und Firefox sind von dem Systemfehler nicht betroffen, weil sie auf eine andere SSL Implementierung - in diesem Fall NSS - setzen.
Weitere Details dazu auch auf icertificate
Die icertificate GmbH ist ein führender Distributor für digitale Verschlüsselung. Das Unternehmen bietet privaten wie gewerblichen Webseitenbetreibern günstige Konditionen für namhafte SSL-Zertifikate, PKI, Emailsignaturen und Trust-Seals. Das heutige Angebot umfasst unter anderem Produkte von Symantec, GeoTrust, Comodo, DigiCert, Thawte, GlobalSign, RapidSSL und AlphaSSL.
Unternehmensinformation / Kurzprofil:
Die icertificate GmbH ist ein führender Distributor für digitale Verschlüsselung. Das Unternehmen bietet privaten wie gewerblichen Webseitenbetreibern günstige Konditionen für namhafte SSL-Zertifikate, PKI, Emailsignaturen und Trust-Seals. Das heutige Angebot umfasst unter anderem Produkte von Symantec, GeoTrust, Comodo, DigiCert, Thawte, GlobalSign, RapidSSL und AlphaSSL.
Datum: 24.02.2014 - 14:59 Uhr
Sprache: Deutsch
News-ID 1023781
Anzahl Zeichen: 2735
Kontakt-Informationen:
Stadt:
Bonn
Kategorie:
Internet-Portale
Diese Pressemitteilung wurde bisher 247 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Fehlerhafte SSL Verschlüsselung auf Apple Geräten"
steht unter der journalistisch-redaktionellen Verantwortung von
icertificate GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Es mehren sich Berichte über Abmahnungen von Webseiten, die zwar mit einer generellen SSL-Verschlüsselung werben, in Wahrheit aber nur sensible Teilbereiche ihrer Seiten wie beispielsweise Bestellabläufe oder Logins wirklich verschlüsseln. Ein solches Abweichen vom Beworbenen gilt als irreführ
Certum SSL Zertifikate ergänzen icertificate Portfolio ...
Mit Bekanntwerden diverser Sicherheitslücken im Bezug auf Verwendung, Speicherung und Abhörung von Daten aus den USA ist das Sicherheitsverständnis stark gestiegen. Der Wunsch nach nicht-amerikanischen Lösungen ist dabei verstärkt wahrzunehmen. Mit der Zertifizierungsstelle Certum aus
Warnung vor gefälschtem Microsoft SSL-Zertifikat ...
Einem Experten ist es gelungen sich für die finnische Microsoft Domain "live.fi" ein SSL Zertifikat ausstellen zu lassen. Um nicht Opfer eines Man-in-the-Middle Angriff zu werden, wird dringend dazu geraten das Zertifikat zu blockieren. Dem Finnen war es gelungen sich eine Email-
Weitere Mitteilungen von icertificate GmbH
SAT_SPEED Flexus - der Tarif, der wirklich mitdenkt ...
Die EUSANET GmbH, langjähriger Pionier für satellitengestützte Breitbandservices, startet mit Flexus einen bahnbrechend neuen Tarif für seinen SAT_SPEED Dienst, der Internet via Satellit jetzt noch einfacher macht: Flexus passt sich automatisch dem Bedarf und Verbrauch der Nutzer an, die Gebüh
eventsofa auf Wachstumskurs: Location-Plattform wächst um 100 Prozent ...
eventsofa konnte sein Location-Angebot im zweiten Geschäftsjahr auf über 6.000 Eventlocations deutschlandweit vergrößern. Grund dafür sind der steigende Traffic und die zunehmende Bekanntheit der Internetplattform bei Anbietern und Veranstaltungsplanern. Aufgrund des großen Bedarfs an profe
Ruhr-Domains: Ausschließlich für Ruhris ...
Adolf Tegtmeier würde sicherlich sagen:"Dat is vielleicht ein Dingen! Ruhr-Domains nur für Ruhris..." Und das schönste dabei ist: Das ist nicht ein Kabinettsstückchen von einem Kabarettisten, es ist schlicht wahr. Ab dem 25. Februar kann man ohne Marke Ruhr-Domains registriere
Domains wie Firma.GmbH, Firma.AG und Firma.KG sind möglich ...
ICANN wird sehr viele neue Top Level Domains einführen. Jetzt hat ICANN über 1000 Bewerbungen um die Neuen Top Domains ein erstes Plazet gegeben-darunter auch für vier Bewerbungen um GmbH-Domains. Was bedeutet das? Wenn die GmbH-Domain nicht -völlig unerwartet- wegen Einwände im weite
