Schwerwiegende Lücke in Safari wird kommende Woche geschlossen
Wie Apple gegenüber Medienvertretern erklärt, will man kommende Woche eine schwerwiegende Sicherheitslücke in Safari schließen, über die Angreifer geschützte HTTPS-Verbindungen entschlüsseln können.
Betroffen sind sowohl OS X als auch iOS. Möglich wird der erfolgreiche "FREAK"-Angriff auf HTTPS durch veraltete Chiffrierschlüssel, die sich noch bei mehr als 14 Millionen Webseiten im Einsatz befinden. Diese unsicheren Schlüssel werden unter anderem von Safari, Internet Explorer 11, dem Android-Browser und dem BlackBerry-Browser akzeptiert, obwohl sie bereits seit Jahrzehnten als unsicher gelten.
Für Safari und den Android-Browser wurden bereits Updates angekündigt, die in den kommenden Tagen erscheinen. Auch im Fall des Internet Explorer 11 und des BlackBerry-Browsers sollen Updates das Problem beheben. Bis dahin sind Betreiber von Webseite aufgefordert, die veralteten Chiffrierschlüssel nicht mehr zu unterstützen, um einen Angriff zu vereiteln.
Die betreffenden RSA-Export-Schlüssel wurden in den 1990er Jahren aufgrund damaliger Export-Beschränkungen entwickelt und ließen sich von US-Geheimdiensten entschlüsseln. Mittlerweile ist die Rechenleistung aber derart gestiegen, dass praktisch jeder mit geringem finanziellen Aufwand entsprechende Verbindungen entschlüsseln kann.
Weiterführende Links: