Warnung vor Sicherheitslücke in Mac OS X Mavericks

#1 Durch die Medien geistert es ja schon ein paar Tage. Aufgrund schlampiger Programmierung hat sich ein folgenschwerer Fehler in Mac OS X 10.9.x (Mavericks) sowie iOS 6, iOS 7 und AppleTV eingeschlichen. Durch diesen Fehler findet keine abschließende Prüfung von Serverzertifikaten mehr statt. Das bedeutet: im Prinzip kann jeder den betroffenen Systemen einen gefälschten Server unterjubeln. Sei es nun beim Online-Banking, beim Abruf von E-Mails oder beim Abruf von Updates.

Es gibt aber auch gute Nachrichten:
1. Für iOS 6 und 7 sowie für AppleTV gibt es bereits ein Update, welches die Sicherheitslücke schließt.
2. Der Angreifer muss sich nach bisherigen Erkenntnissen im selben Netzwerk befinden.
3. Ältere Versionen von Mac OS X (also 10.8.x und früher) sind offenbar nicht betroffen.

Für 1. gilt: Updates sofort installieren
Für 2. gilt: Nach Möglichkeit fremde Netzwerke (bspw. öffentliche Hotspots) meiden. Und wenn, dann nicht den Safari, sondern einen alternativen Browser (Firefox und Chrome gelten als sicher) nutzen. Aber auch im heimischen Netzwerk oder im Unternehmensnetzwerk ist u.U. Vorsicht geboten. So kann es durchaus sein, dass ein mit Schadsoftware befallener Client die Möglichkeit besitzt, Apple-Geräte im Netzwerk gezielt hierüber anzugreifen. Die Gefahr ist hier meiner Einschätzung nach allerdings sehr gering. Eher gibt es einen gezielten Angriff durch eine Person im Netzwerk.
Und wie gesagt: grundsätzlich sind alle Apple-Programme betroffen. Allein mit der Nutzung von Chrome oder Firefox statt Safari ist man nicht sicher. Viele Anwendungen wie Mail, Calendar und App-Store nutzen die fehlerhafte Zertifikatsprüfung des Systems. Ein Ausweichen auf Alternativen ist nicht immer möglich.

Update: Während ich hier schreibe (also kurz bevor ich auf "Thema erstellen" geklickt habe), habe ich nochmal alle einschlägigen Internetseiten auf Updates geprüft. Tatsächlich: um 20 Uhr berichtet heise.de, dass nun ein Patch für Mac OS X Mavericks bereit steht: http://www.heise.de/newsticker/meldung/goto-fail-Mac-OS-X-10-9-2-beseitigt-SSL-Schwachstelle-2122971.html
Ich habe dies gerade auf meinem MacBook geprüft und kann es bestätigen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#2 Da sind open-source Betriebssysteme klar im Vorteil, ironischerweise ist der Fehler ja überhaupt deswegen aufgeflogen weil Apple den betreffenden Quellcode offen gelegt hatte.

Wie sieht's eigentlich bei Mac OS X mit Bibliotheken aus?
Vermutlich wäre es möglich gewesen die betreffende Bibliothek selber zu fixen und dann auszutauschen?

Edit:
Aber da sieht man mal wieder, auf Mac OS X coden ist schlecht -
Tastatur fehlen alle wichtigen Zeichen und ganz ehrlich jeder IDE merkt das doch mit der Einrückung wenn man die geschweiften Klammern unter C weg läßt.
Nächste mal kein Wordpad zum coden benutzen...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode