SSL-Sicherheitslücke kann aktiv ausgenutzt werden
Auch gestern veröffentlichte Apple kein Sicherheitsupdate, um die schwere SSL-Sicherheitslücke zu schließen. Warum sich Apple derart viel Zeit lässt, ist nur schwer nachzuvollziehen, da es sich lediglich um eine einzige Code-Zeile einer offenen Komponente handelt, die angepasst werden muss und das Update für iOS bereits in der vergangenen Woche erschien. Einem Sicherheitsforscher ist es bereits gelungen, die Lücke so ausnutzen, dass der
gesamte SSL-Datentransfer inklusive Nutzernamen, Passwörtern, Schlüsselbund und Daten aus Kalendern abgefangen werden konnte.
Seiner Ansicht nach war er bestimmt nicht der Erste, der die Sicherheitslücke zum Zugriff auf geschützte Daten verwendete. Über ein modifiziertes Proxy sei es für den Hacker nicht schwer, sensible Daten zu erlangen und alle Informationen auszuschnüffeln, die eigentlich über eine sichere Verbindung übermittelt werden sollten. Es bleibt zu hoffen, dass Apple heute noch ein Sicherheitsupdate oder OS X 10.9.2 inklusive geschlossener Sicherheitslücke freigibt. Bis dahin bleiben folgende Tipps aktuell, wie sich der Nutzer momentan schützen kann:
Weiterführende Links: