goto fail; aus Absicht. Sicherheitsexperte Bruce Schneier äußert sich zum SSL-Bug goto fail; bei Apple. Seiner Ansicht nach erfüllt der Programm-Fehler alle Anforderungen an eine ideale Schwachstelle. Die da wären geringe Chance auf Entdeckung und gute Möglichkeiten jegliche Absicht zu verneinen sowie minimaler Aufwand in der Implementierung.
Ein wie flüchtig eingefügt wirkendes verdoppeltes goto fail; schaltet die Überprüfung von SSL-Verbindungen aus und öffnet Angriffen Tür und Tor. Vermeintlich gesicherte Verbindungen könnten manipuliert sein. Dies betrifft sogar Verbindungen zum Apple-Update-Server, dessen Identität maskiert sein könnte. Auf diese Weise könnte man infizierten Schadcode auf Systeme bringen, deren Anwender meinen, mit einem Server von Apple verbunden zu sein.
Bruce Schneier fordert lückenlose Aufklärung von Apple. Auch Sascha Lobo erregt sich am Schweigen von Apple:
Apple ist jeder potentielle Kratzer im Image wichtiger als die Sicherheit der Nutzer. Ein düsteres Zukunftsszenario, wenn Apple in Bereiche expandiert, in denen digitale Sicherheit über Leben entscheidet, wie Autos oder Gesundheit. Eventuell aber steht hinter dem Fehler noch etwas anderes. [ spiegel.de .. ]
Die Aussage von Tim Cook, es gebe keine Backdoor (24.1) kann so auch nicht im Raum stehen bleiben. Der SSL-Bug taucht im Oktober 2012 erstmals in iOS 6 auf, wurde in iOS 7 übernommen und soll von iOS auf Mac OS X 10.7 übergesprungen sein.
Es gibt derzeit Sicherheitsupdates durch das -Update und weitere für OS X Lion (v10.7.5), Lion Server und OS X Mountain Lion (v10.8.5.). Für Snow Leopard wird kein Update angeboten.
Kommentare sind geschlossen.