SSL Bug in iOS 6, 7 und Mac OS X 10.9.1

TuxOpa

TuxOpa

Aktives Mitglied
Thread Starter
Dabei seit
16.01.2014
Beiträge
114
Reaktionspunkte
37
Hallo zusammen.

Apple hat Heute außer der Reihe ein Sicherheitsupdate für alle iOS 6 und 7 Firmware (auch für Apple TV) bereit gestellt. Mac OS X 10.9.1/Safari ist auch davon betroffen, aber hier gibt es noch kein Update. Der Bug befindet sich in der verwendeten SSL Bibliothek, die leider auch gültige SSL Zertifikate akzeptiert, die nicht von Sender stammen. Genaueres hat Heise zusammengetragen: http://www.heise.de/newsticker/meldung/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html

Unter Mac OS X 10.9.1 muss man einen alternativen Browser verwenden, wie z.B. Google Chrome.

Gruß TuxOpa
 
  • Gefällt mir
Reaktionen: walter_f, Chimaira, Macothan und eine weitere Person
Chromium (damit dann auch Chrome) ist nicht betroffen da der afaik mit TLSLite seinen eigenen TLS Stack hat.
Firefox ist bei mir auch nicht betroffen, aber ich weiß nicht ob das daran liegt, dass ich relativ viel Ciphern abgestellt hab.

Ich will noch gerne hervorheben: der Bug wurde in 10.9 eingeführt und ist auch in 10.9.1 noch nicht behoben. Dies betrifft sämtliche Kommunikation die diese Mechanismen nutzt, nicht nur Browser.



Der Fehler ist übrigens grandios :D
Code: 
	if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
		goto fail;
	if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
		goto fail;
		goto fail;
	if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
		goto fail;
+1 Grund weshalb sich Klämmerchen auch um Single Statement Blöcke empfehlen.
 
kann mir das einer für nicht-Informatiker erklären? :d :confused:

Also Safaris Sicherheitsprotokoll ist in soweit unsicher, als dass während der Prüfung der Zertifikate auch solche akzeptiert werden, die eigentlich fremd sind. Oder?

Heißt für mich -> Firefox erstmal nutzen (?)
 
Ja

Im Prinzip kann jemand DNS Abfragen (Auflösung von www.xyz.com etc. auf eine IP Adresse: 192.168.1.1) abfangen und eine falsche IP Adresse zurück liefern. Dann Verbindet sich der Browser mit dem Server mit dem HTTPS Protokoll. Als erster Schritt liefert nun der aufgerufene Server sein Zertifikat, indem auch seine DNS beinhaltet und unterschrieben ist.
Der Fehler erlaubt nun dass die SSL Bibliothek auch gültige Zertifikate erlaubt, die gar nicht zu der aufgerufenen Adresse passen, also mal ganz grob, statt www.otto.de, www.amazon.de.

Das Ganze funktioniert aber nur, wenn jemand auf das interne Netz zugriff hat und dort die DNS Abfragen umlenken kann.

Gruß TuxOpa
 
  • Gefällt mir
Reaktionen: Michael.Linke, Mr. Praline und pmau
ok, sprich der Angreifer müsste in meinem WLAN sein bspw. ?

Danke :)
 
Nein, das muss er nicht! Jeder, der auf welchem Weg auch immer, vorgibt A zu sein, in Wirklichkeit aber B ist, kann diese Lücke ausnutzen.
 
  • Gefällt mir
Reaktionen: iPhill und Chimaira
Am interessantesten finden ich, dass die Lücke augenscheinlich seit langem bekannt ist und erst jetzt "auf die Schnelle" behoben werden soll.
Ich kenne mich mit Programmierungen jeglicher Art nicht besonders gut aus, aber da es sich nur um eine Codezeile handeln soll, sollte es doch nicht so aufwendig sein dieses Problem zu beheben!? Oder hängt etwa mehr daran?
Sorry, aber mein Wissen ist in der Beziehung zu rudimentär?

Habe aber zu der Lücke mal ein wichtige Frage:
Mir ist vorhin aufgefallen, dass mein Gastzugang auf einmal aktiviert war. Ich habe den Zugang definitiv nicht aktiviert.
Er war bis dato immer deaktiviert.
Habe ich jetzt paranoide Wahnvorstellungen, oder kann es sein, dass diese Lücke ausgenutzt worden ist? Aber dazu müsste man doch mein Admin-Passwort wissen, welches ich schon lange nicht mehr benutzen habe, da ich nicht mit dem Admin-Account arbeite bzw. schon längere Zeit keine Installationen, oder Änderungen am System durchgeführt habe. Habe jetzt den Gastzugang wieder deaktiviert. Ich weiß, dass das OS nicht ohne mein Zutun etwas aktiviert bzw. deaktiviert, obwohl OS 10.9.1 manchmal etwas unwirsche Dinge macht; z.B. Systemtöne einfach nicht mehr abspielt, nur um ein Beispiel zu nennen.
Ist meine Sorge begründet, oder kennt jemand so ein Phänomen? Ist hier jemanden das gleiche passiert?
Gruß
Ebbe
 
Find my Mac aktiviert?
 
Ja, genau!
Wieso, hast Du ihn gefunden?
Entschuldige meinen Galgenhumor.
 
Funktioniert nur mit einem aktiven Gastaccount.
 
Ah Interessant!
Aber, ich habe "Find My Mac" schon immer aktiviert gehabt und nie war der Gast-Account aktiviert.
Daher bin nicht darauf gekommen, dass es evtl. daran liegen könnte.
Wahrscheinlich ist meine Sorge unbegründet, da ich gerade noch gelesen habe, dass die Lücke erst ca. 48 Std. bekannt sein soll und es äußerst unwahrscheinlich ist, dass ich auf eine kompromittierte Seite gelangt bin.
Gerade, da ich mich sowieso sehr vorsichtig im Netz bewege.
 
Mal am Rande:

Wenn man sich die Testsuite von OpenSSL selbst anschaut, findet man hunderte von kleinen Testcases, die zum Beispiel falsche Signaturen entdecken und ähnliches. (Diese Tests werden nach dem Übersetzen der Bibliothek selbst ausgeführt um Bugs zu entdecken).

Da wundert es mich schon ein wenig, dass Apple zum Beispiel OpenSSL als deprecated markiert (baut mal was damit, dan seht ihr das), aber gegen ihre eigenen Frameworks wohl relativ wenig Tests ausführt.

Jedes dämliche Perl Modul hat hunderte Tests, oder man denke an den Ruby Crypto Bug der Private Keys mit Null Bit akzeptiert hatte.
Deshalb ärgert mich nicht der Bug selbst, so ein Mist passiert und wird gefixt.

Was mich ärgert ist, die "Don't fight the Framework" Debatte, in der Apple immer dazu anhält die Frameworks nicht zu umgehen und z.B neuere SQLite und andere Libraries mit in die Apps zu linken.

Mal abwarten welche großen App Anbieter wieder anfangen externe Libraries einzubauen.
Das Problem ist dass die Rate der Änderungen bei Open Source eben höher ist und Fehler sich schneller fixen lassen.

Daran sieht man die mangelnde Kommunikationsbereitschaft von Apple.
(Über die Sinnlosigkeit des Apple Bug Reporters habe ich letzten schon geschrieben.)
 
  • Gefällt mir
Reaktionen: M001, David X und walter_f
Kann ich irgendwie das Sicherheitsupdate auf meinem iPhone 4 mit iOS 6 machen?
Die Aktualisierung in den Einstellungen bietet mir leider nur die letzte Version von iOS7 an, allerdings ist mir jedoch das 4er mit dem neuesten Betriebssystem einfach zu langsam (und zu hässlich).
 
TuxOpa schrieb:
Mac OS X 10.9.1/Safari ist auch davon betroffen, aber hier gibt es noch kein Update. Der Bug befindet sich in der verwendeten SSL Bibliothek, die leider auch gültige SSL Zertifikate akzeptiert, die nicht von Sender stammen. Genaueres hat Heise zusammengetragen: http://www.heise.de/newsticker/meldung/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html

Unter Mac OS X 10.9.1 muss man einen alternativen Browser verwenden, wie z.B. Google Chrome.

Gruß TuxOpa
Zum Vergrößern anklicken....

Oder einen aktuellen Firefox (dazu meine Empfehlung: das Add-On Cipherfox installieren).

Noch etwas: Benutzer von OS X 10.9 sollten in jedem Browser, den sie verwenden, je einmal die folgende Testseite aufrufen:

https://gotofail.com/

Gruß,

W.
 
Chimaira schrieb:
Also Safaris Sicherheitsprotokoll ist in soweit unsicher, als dass während der Prüfung der Zertifikate auch solche akzeptiert werden, die eigentlich fremd sind. Oder?
Zum Vergrößern anklicken....

Jein. Nicht nur (das Sicherheitsprotokoll von) Safari ist derzeit als unsicher anzusehen. Die lückenhafte SSL-Implementation wird am Mac nicht nur von Safari benutzt. Es handelt sich um ein schwerwiegendes Sicherheitsproblem in OS X 10.9 insgesamt, von dem noch weitere Applikationen, die von Apple selbst stammen, ebenfalls betroffen sind:

"Von dem Fehler sind alle Programme unter Mac OS X betroffen, die die fehlerhafte SSL-Implementierung von Mac OS X nutzen, darunter der Safari-Browser, Apple Mail, Facetime, Messages, iTunes und iCloud."
http://www.heise.de/mac-and-i/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html

Das bedeutet im Prinzip: Unter 10.9 derzeit Finger weg von allen obengenannten Programmen.

Ja, ich weiß schon, dass das beim Mail-Programm wesentlich mehr Umstände mit sich bringt als z.B. beim Browser. Aber Apple wird den Bug ja in ein paar Wochen behoben haben - hoffentlich. Bis dahin für die Mail das Web-Interface deines Providers benutzen?
;-)

Chimaira schrieb:
Heißt für mich -> Firefox erstmal nutzen (?)
Zum Vergrößern anklicken....

Ja, z.B. Firefox.

"Browser wie Google Chrome und Mozilla Firefox seien nicht betroffen, weil sie nicht auf die betreffende SSL-Library von Mac OS X zugreifen. Anwender können auf der Webseite gotofail.com prüfen, ob ihr Web-Browser eine sichere SSL-Verbindung aufbauen kann oder nicht."
http://www.heise.de/mac-and-i/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html

W.
 
  • Gefällt mir
Reaktionen: Chimaira
Halt nicht in irgendwelchen Flughäfen Onlinebanking betreiben bis das Update da ist. 10.9.2 ist auch noch anfällig, ist wahrscheinlich deshalb noch nicht erschienen und der Fix wird einfach in 10.9.2 integriert.
 
Nur um nochmals sicher zu gehen:
also 10.6 und 10.8 sind nicht betroffen.
Richtig?
 
  • Gefällt mir
Reaktionen: minimann und stonefred
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten