Apple will SSL-Lücke im Push-Dienst Ende Oktober schließen
Im Entwickler-Portal hat Apple angekündigt, die kürzlich bekannt gewordene SSL3-Sicherheitslücke "POODLE" (Padding Oracle On Downgraded Legacy Encryption)
zum Ende des Monats auch im Push-Dienst zu schließen. Bislang können App-Server auch mittels veraltetem SSL3 Push-Nachrichten mit Statusinformationen an iOS-Geräte und Macs übermitteln, was ab dem 29. Oktober dann nicht mehr möglich sein wird. Stattdessen wird ab diesem Zeitpunkt nur noch der modernere SSL-Nachfolger TLS unterstützt.
Hacker können
mithilfe der SSL3-Lücke verschlüsselte Nachrichten mit einem Man-in-the-Middle-Angriff entschlüsseln und manipulieren, indem die Verbindung auf unsichere Verschlüsselungsverfahren heruntergestuft wird. Apple hat die Lücke bereits mit OS X 10.10 Yosemite sowie dem Security Update 2014-005 für OS X 10.9 Mavericks und OS X 10.8 Mountain Lion geschlossen. Auch in iOS 8.1 und der Apple-TV-Firmware 7.0.1 lässt sich die SSL3-Lücke nicht mehr ausnutzen.
Weiterführende Links: