"goto fail": Programmierfehler verursachte iPhone-Sicherheitslücke

23. Februar 2014, 10:45
175 Postings

Überschüssiger Befehl hebelte Verschlüsselung aus

Eine schwere Sicherheitslücke hat vor Kurzem für Aufregung gesorgt. Sie erlaubte es, Nutzern von iPhones, iPads und Rechnern mit MacOS Zugriff auf deren Kommunikation zu erlangen, wenn sich der Angreifer etwa gemeinsam mit ihnen in einem ungeschützten WLAN befand. Wie nun herausgekommen ist, wurde das Problem durch einen simplen Programmierfehler verursacht.

"goto fail" im Doppelpack

Bei einer Analyse stellte sich laut Wired heraus, dass in jenem Code bei iOS und MacOS, der die Prüfung der Signatur der Verschlüsselung bei SSL-Verbindungen einleiten sollte, versehentlich ein Befehl doppelt vorhanden ist. Weil sich gleich zwei Mal hintereinander der Befehl "goto fail" findet, findet diese nie statt. Dadurch öffnet sich ein kritisches Loch.

Updates

Apple hat bereits am Freitag mit Updates für iOS 6 und 7 reagiert und rät dringend, dazu diese schnellstmöglich einzuspielen. Andernfalls setze man sich der Gefahr des Datendiebstahls aus. Für Mac OS 10.9 steht die Aktualisierung noch aus.

Ob man selbst von dieser Lücke betroffen ist, lässt sich unter der Adresse GotoFail.com überprüfen, die man unter MacOS mit dem Browser Safari öffnen sollte. (red, derStandard.at, 23.02.2014)

  • Ein "goto" zuviel war die Ursache der Sicherheitslücke.
    foto: ap

    Ein "goto" zuviel war die Ursache der Sicherheitslücke.

Share if you care.