SSL Bug in iOS 6, 7 und Mac OS X 10.9.1
- Ersteller TuxOpa
- Erstellt am
M001
Aktives Mitglied
- Dabei seit
- 18.10.2012
- Beiträge
- 222
- Reaktionspunkte
- 158
Ich bin geschockt!!
Wenn man sich den Code ansieht der zu diesem Fehler führt, dann fehlen mir die Worte. Das ist unglaublich dilettantisch!
Das hätte ich bei Apple wirklich nicht erwartet, da wurden ja alle Coding-Rules missachtet.
Wo war da die Code-Analyse? Wo war hier die Code-Review?
Ein derartiger Fehler in einer Sicherheitskritischen Bibliothek darf definitiv nicht passieren!
http://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c
Auch das Statement von Apple erschreckt mich zutiefst.
Sie werden so schnell wie möglich einen Patch zur Verfügung stellen WTF!!
Sie sind also nicht in der Lage, nachdem sie die fehlerhafte Codezeile bereits in IOS identifiziert haben, diese auch gleichzeitig in der SSL Library in OS X zu fixen und die neue Library auch für OS X auszurollen?
Wenn man sich den Code ansieht der zu diesem Fehler führt, dann fehlen mir die Worte. Das ist unglaublich dilettantisch!
Das hätte ich bei Apple wirklich nicht erwartet, da wurden ja alle Coding-Rules missachtet.
Wo war da die Code-Analyse? Wo war hier die Code-Review?
Ein derartiger Fehler in einer Sicherheitskritischen Bibliothek darf definitiv nicht passieren!
http://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c
Auch das Statement von Apple erschreckt mich zutiefst.
Sie werden so schnell wie möglich einen Patch zur Verfügung stellen WTF!!
Sie sind also nicht in der Lage, nachdem sie die fehlerhafte Codezeile bereits in IOS identifiziert haben, diese auch gleichzeitig in der SSL Library in OS X zu fixen und die neue Library auch für OS X auszurollen?
David X
Aktives Mitglied
- Dabei seit
- 12.08.2011
- Beiträge
- 1.632
- Reaktionspunkte
- 538
Bei so einem Hack ist es egal in welchem Netzwerk Du bist! Sorry, aber was Apple hier mal wieder zum Thema Sicherheit abliefert, ist einfach nur peinlich. Wenn die die Software der Apps in den Stores genauso gut untersuchen und testen wie ihren eigenen Kram…
FelixMacintosh
Aktives Mitglied
- Dabei seit
- 15.07.2013
- Beiträge
- 1.431
- Reaktionspunkte
- 592
Das kann ich mit selbiger Versionsnummer nicht bestätigen. Alles gut.
Colombiche
Mitglied
- Dabei seit
- 09.07.2013
- Beiträge
- 67
- Reaktionspunkte
- 18
Ich habe noch nie geglaubt, dass man mit der neuesten Software bzw. Betriebssystem sicherer unterwegs sei.
Sondern? Du willst mir doch jetzt nicht ernsthaft weismachen, Software wäre vor 5 Jahren noch nicht komplex gewesen, und Apple stand vor 5 Jahren noch als Musterbeispiel für Sicherheit dar?
akumetsu
Aktives Mitglied
- Dabei seit
- 19.08.2011
- Beiträge
- 2.921
- Reaktionspunkte
- 1.178
Sorry, hatte das schlecht geschrieben...
Bei gotofail erhalte ich: "Safe. We have examined your OS and browser version information and have determined you are not at risk without actually running the test. You may force the test to run anyway."
Das habe ich gemacht und erhalte: "Safe. We have examined your OS and browser version information and determined that an active vulnerablity test was appropriate. Fortunately, your browser correctly aborted loading our test image upon seeing an invalid ServerKeyExchange message."
Etwas weiter unten ist dann howsmyssl verlinkt und dort steht: "Your SSL client is Bad." mit einer genaueren Auflistung darunter.
stonefred
Aktives Mitglied
- Dabei seit
- 20.11.2007
- Beiträge
- 10.786
- Reaktionspunkte
- 8.562
Ja, falls Du einen Jailbreak hast. Ryan Petrich halte ich für vertrauenswürdig. http://www.iphonehacks.com/2014/02/fix-ssl-bug-without-upgrading-ios-7-0-6-ios-6-1-6.html
spaceman88
unregistriert
- Dabei seit
- 07.08.2009
- Beiträge
- 5.041
- Reaktionspunkte
- 857
Ja, aber wegen irgendwelcher Hacks mache ich mir jetzt nicht das Höschen nass. Kommt halt die Tage 10.9.2 und dann isses gut.
t0rchy
Aktives Mitglied
- Dabei seit
- 14.12.2010
- Beiträge
- 155
- Reaktionspunkte
- 10
Ich erlaube mir mal meine Frage erneut zu stellen, da die beim Seiteübergang wohl untergegangen ist
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
Das schlimme ist hier (mal wieder), dass Apple seit Monaten von dem Problem weiß, aber sich beim Update mal wieder ewig Zeit lässt.Bei so einem Hack ist es egal in welchem Netzwerk Du bist! Sorry, aber was Apple hier mal wieder zum Thema Sicherheit abliefert, ist einfach nur peinlich. Wenn die die Software der Apps in den Stores genauso gut untersuchen und testen wie ihren eigenen Kram…
Madcat
Aktives Mitglied
- Dabei seit
- 01.02.2004
- Beiträge
- 20.657
- Reaktionspunkte
- 8.543
Sorry, hatte das schlecht geschrieben...
Bei gotofail erhalte ich: "Safe. We have examined your OS and browser version information and have determined you are not at risk without actually running the test. You may force the test to run anyway."
Das habe ich gemacht und erhalte: "Safe. We have examined your OS and browser version information and determined that an active vulnerablity test was appropriate. Fortunately, your browser correctly aborted loading our test image upon seeing an invalid ServerKeyExchange message."
Etwas weiter unten ist dann howsmyssl verlinkt und dort steht: "Your SSL client is Bad." mit einer genaueren Auflistung darunter.
Ich empfehle dir einfach mal die genauere Auflistung auch durchzulesen. Da steht dann auch, was zur Bewertung BAD führt, z.B. wenn der eigene Client "nur" TSL 1.0 benutzt.
stonefred
Aktives Mitglied
- Dabei seit
- 20.11.2007
- Beiträge
- 10.786
- Reaktionspunkte
- 8.562
Ich erlaube mir mal meine Frage erneut zu stellen, da die beim Seiteübergang wohl untergegangen ist
Schau mal meinen Beitrag auf Seite 2...
Ich habe beim iOS 6.1.3 mit dem iPad ein Problem - die alte Evasi0n Version funktioniert scheinbar nicht mit dem neueren iTunes. Ist überhaupt schlecht programmiert. Ich will Comex, Musclenerd und Planetbeing Jailbreaks zurück
Provisorischer Patch für OSX Mavericks von Sicherheitsunternehmen veröffentlicht: http://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html
Ich erlaube mir mal meine Frage erneut zu stellen, da die beim Seiteübergang wohl untergegangen ist
Tja, auf diese perfide Art und Weise schafft es diese Bande in Cupertino nun doch noch, die IOS7-Verweigerer zu "überzeugen", da sie für die IOS7-fähigen Geräte kein Update für IOS6 bereit stellen. Ganz schön erbärmlich, so eine Politik. Manchmal scheint es so, als wenn Apple permanent die Schmerzgrenze seiner Kunden ausloten will. Bin mal gespannt, wie lange das noch gut geht.
David X
Aktives Mitglied
- Dabei seit
- 12.08.2011
- Beiträge
- 1.632
- Reaktionspunkte
- 538
Tja, der Bug wurde mit iOS 6 im September 2012 eingeführt. Hat ja nur fast 1,5 Jahre gedauert, den Bug in iOS zu eliminieren.
Madcat
Aktives Mitglied
- Dabei seit
- 01.02.2004
- Beiträge
- 20.657
- Reaktionspunkte
- 8.543
mattimatti
Aktives Mitglied
- Dabei seit
- 01.07.2010
- Beiträge
- 409
- Reaktionspunkte
- 3
hallo, gibt es denn schon irgendwelche neuigkeiten zum thema safari? oder warte ich darauf bis im appstore ein update auftaucht?
noch eine verständnisfrage: in dem was ich gelesen habe, stand, dass eine gefahr bestand und aktuell besteht wenn man sich in öffentlichen w-lan netzen aufhält. d.h. wenn ich bisher nur mit chrome in öffentlichen w-lan netzen unterwegs war habe ich ansonsten nichts zu befürchten? (was auch immer zu befürchten ist…).
noch eine verständnisfrage: in dem was ich gelesen habe, stand, dass eine gefahr bestand und aktuell besteht wenn man sich in öffentlichen w-lan netzen aufhält. d.h. wenn ich bisher nur mit chrome in öffentlichen w-lan netzen unterwegs war habe ich ansonsten nichts zu befürchten? (was auch immer zu befürchten ist…).