Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple steht wegen mangelnder Zertifikatssicherheit in der Kritik

Nachdem fast alle Betriebssystem- und Browser-Hersteller auf ein signifikantes Sicherheitsproblem mit einigen Zertifikaten für SSL/TLS-Verbindungen reagiert und diese über Software-Aktualisierungen entfernt haben, steht Apple wegen seiner fehlenden Sicherheitsaktualisierung in der Kritik. In OS X und vermutlich auch in iOS wird das "DigiNotar Root CA"-Zertifikat weiterhin akzeptiert. Vergangene Woche wurde bekannt, dass das Zertifikat offenbar von der iranischen Regierung dazu missbraucht wurde, Nutzer von Google-Diensten zu überwachen. Hierzu wurde über das Internet in die niederländische Zertifizierungsstelle eingebrochen und der Hauptschlüssel entwendet, mit dem die Verschlüsselung von beliebigen Verbindungen zertifiziert werden kann, selbst wenn sich ein Angreifer zwischen den Verbindungen befindet. Ungefähr 500 Zertifikate für bekannte Internet-Adressen wurden den Berichten nach so erstellt und ermöglichten den Angreifern das Abhören der verschlüsselten Verbindungen, beispielsweise auch von Bankseiten oder eben E-Mail-Diensten. Apple-Nutzer befinden sich aber weiterhin in Gefahr, abgehört zu werden, wenn sie nicht selbst aktiv werden. Um das Zertifikat zu entfernen, muss das Dienstprogramm "Schlüsselbundverwaltung" gestartet werden. Im Schlüsselbund "System-Roots" findet man über das Suchfeld schließlich das Zertifikat "DigiNotar Root CA", welches es als Administrator zu entfernen gilt. Wann Apple dies mit einer Sicherheitsaktualisierung für alle Anwender umsetzen wird, ist nicht abzusehen. Für den letzten derartigen Fall hatte Apple rund einen Monat bis zur Entfernung des kritischen Zertifikats benötigt.

Weiterführende Links:
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
Das iPhone 16
Das iPhone 16
iPhone 16: Welche Netzteile schnelles Laden versprechen
iPhone 16: Welche Netzteile schnelles Laden ver...
Apple aktualisiert Zubehör: Magic Mouse, Magic Keyboard, Magic Trackpad
Apple aktualisiert Zubehör: Magic Mouse, Magic ...
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
AirPods Max: Warum so wenig Innovation?
AirPods Max: Warum so wenig Innovation?
Erwartetes Oktober-Event: Die wahrscheinlichen Neuerungen der Mac- und iPad-Veranstaltung
Erwartetes Oktober-Event: Die wahrscheinlichen ...

Kommentare

Tiger
Tiger09.09.11 10:03
Ist ja nichts neues, dass Apple es mit der Sicherheit nicht so wichtig nimmt. Dauert bei Apple immer ewig, selbst bei kritischen Lücken.
0
high-and-fly
high-and-fly09.09.11 10:05
Und wie lösch' ich es jetzt...?
Selbst wenn ich als Admin angemeldet bin, gibt es keine Möglichkeit, es irgendwie zu löschen.. (in Papierkorb geht nicht, Apfel-Löschtaste auch nicht...!)
0
dubtown
dubtown09.09.11 10:08
Schade. Aber Firefox und Chrome sind ja auch nicht von schlechten Eltern.
0
4D616309.09.11 10:09
high-and-fly: rechte maustaste und löschen? oO
0
Oceanbeat
Oceanbeat09.09.11 10:09
Das Löschen wird dir nur angeboten, wenn du den Namen des Zertifikats im Suchfeld des Schlüsselbundes eingibst.
Wenn das Universum expandiert, werden wir dann alle dicker...?
0
iCode
iCode09.09.11 10:18
Der saubere Weg ist: Mach einen Doppelklick auf das Zertifkat und wähle bei "Vertrauen" im Popup "Nie vertrauen" aus.

0
Chiplet
Chiplet09.09.11 10:38
Aber hauptsache die neueste jailbreakme-Lücke wird innerhalb von nur 5 Tagen geschlossen

Da Apple so verschlossen ist, kann man schwer sagen ob es sich hier um ein strukturelles Problem handelt oder Apple dem ganzen einfach keine Priorität beimisst. Eigentlich müsste in einem solchen Fall ein internes Security Response Team bemächtigt sein, sofort sämtliche Entwicklungsarbeit einzufrieren um die nötigen Ressourcen auschließlich zur Behebung des Sicherheitsproblems zur Verfügung zu haben.
0
o.wunder
o.wunder09.09.11 10:39
Internet Seiten mit Zertifikaten haben doch Ihre eigenen Zertifikate. Wie kann dann dieses "iranische" Zertifikat funktionieren? Wird das per "Middle of the man" Attacke gegen das Original der Internetseite ausgetauscht?

Ist schon sehr schlecht das Apple in Sicherheitsangelegenheiten so lange braucht, ja. Und deswegen ist es gut das diese Dinge möglichst frühzeitig in die News kommen, am besten gleich mit Lösungsvorschlag wenn wie hier möglich.

Ich würde auch empfehlen das Zertifikat auf "nie vertrauen" zu setzen.
0
miba09.09.11 10:41
Eine Lösung gibt es hier:
http://ps-enable.com/articles/diginotar-revoke-trust

Das ist die EINE Baustelle, die Apple wirklich mal beackern sollte!
0
monopol09.09.11 10:59
Ich kann es leider auch nicht löschen.
Und das Setzen auf "niemals vertrauen" ist nicht beständig.
Öffnet man das Zertifikat erneut, hat sich der Vertrauenssttus wieder slbst zurück gesetzt.
Jemand ne Idee?
0
mac4music09.09.11 11:02
"niemals Vertrauen" hat bei mir geklappt nach Eingabe von Passwort und ist auch beständig, aber das Löschen geht nicht...weis jemand, wie man das Zertifikat löscht?
0
Marcel Bresink09.09.11 11:04
Das Zertifikat auf "Nie vertrauen" zu setzen, reicht nicht aus.

Von DigiNotar ausgestellte Zertifikate, die mit der Eigenschaft "Extended Validation" markiert sind, werden aufgrund eines Konstruktionsfehlers in Mac OS X trotzdem immer als vertrauenswürdig angesehen, selbst wenn der Zertifizierungsstelle nicht vertraut wird.

Aus diesem Grund muss das Zertifikat wirklich gelöscht werden.
0
Marcel Bresink09.09.11 11:06
mac4music
Wenn man fälschlicherweise vorher das Zertifikat auf "Nicht vertrauen" gesetzt hat, kopiert Mac OS X es aus dem System-Root-Schlüsselbund in den System-Schlüsselbund. Es muss dann explizit dort gelöscht werden.
0
mac4music09.09.11 11:12
na, toll! nach "nicht vertrauen" taucht das Zertifikat nirgends mehr auf....auch nicht im system-schlüsselbund in der schlüsselbunverwaltung...wo ist's hin?
0
robertm09.09.11 11:14
Schaut mal bei heise.de in den News. Da gab's vor ein paar Tagen eine Anleitung. Mit deren Hilfe konnte ich das Zertifikat löschen.
0
mniewiera09.09.11 11:24
mal wieder typisch für apple das die sicherheit warten muss...
eigentlich doch schade!
0
BWeigelt09.09.11 11:32
Anleitung zum selbstständigen beheben eine Sicherheitsproblems durch löschen von dem und dem über so und so... OSX wird Windows 4
0
high-and-fly
high-and-fly09.09.11 11:36
rechte Maustaste Löschen ging auch nicht, aber
@oceanbeat, Danke...
0
Marcel_75@work
Marcel_75@work09.09.11 11:59
Zu dem Thema gibt es auch schon einen recht umfangreichen Thread hier im Forum …



Und es reicht übrigens nicht aus, nur das root-Zertifikat von DigiNotar zu löschen!

Weitere Informationen zum Thema gibt es hier:

Allerdings stimmt auch seine manuelle Anleitung nicht zu 100% - bei 10.5 Leopard und 10.7 Lion verhält sich das ganze etwas anders als unter 10.6 Snow Leopard (Stichwort: "nicht vertrauen" für alle Nutzer vs. angemeldeter Benutzer). Habe das dort auch schon kommentiert, aber lest selbst …
0
cubecube09.09.11 11:59
oceanbeat
danke so geht's.
0
SK8T09.09.11 13:07
Apples Sicherheitspolitik ist unter aller sau.
0
Quickmix
Quickmix09.09.11 13:35
Einfach mal einbrechen und den Schlüssel klauen.
0
q1w2e309.09.11 19:25
Na jetzt hat doch Apple eine Update bereitgestellt…
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.