Sicherheits-Update

Apple schließt mit iOS 4.3.5 eine Sicherheitslücke

Bereit wenige Tage nach der Bereitstellung von iOS 4.3.4 folgt bereits das nächste Update für Apples Mobil-Betriebssystem. Mit der Aktualisierung auf iOS 4.3.5 wird eine Schwachstelle bei der Prüfung von SSL-Zertifikaten beseitigt.

Apple iOS

© Apple, connect

Apple iOS

Erst in der letzten Woche hat Apple iOS 4.3.4 für iPhone und Co. veröffentlicht. Darin hat der Hersteller eine Sicherheitslücke beim Öffnen speziell präparierter PDF-Dateien geschlossen. Diese Lücke wird in JailbreakMe 3.0 ausgenutzt, um das iPhone zu entsperren.Das Update auf die iOS-Version 4.3.5 für iPhone (4, 3GS), iPad und iPod touch (dritte Generation) soll nun eine Sicherheitslücke schließen, die es einem Angreifer ermöglichen kann Daten in SSL-verschlüsselten Verbindungen abzufangen oder zu manipulieren. Der Fehler besteht in einer unzureichenden Prüfung der dabei verwendeten X.509-Zertifikate. Dies ermöglicht so genannte "Man-in-the-Middle"-Attacken mit gefälschten Zertifikaten.Wer im Besitz eines gültigen Zertifikats ist, kann sich selbst Zertifikate für beliebige Domains erstellen, etwa für die von Banken und Online-Bezahldiensten. Apples Mobilsystem bis einschließlich iOS 4.3.4 überprüft nicht, ob der Aussteller wirklich die Berechtigung zum Ausstellen von Zertifikaten besitzt.In der Sicherheitsmitteilung HT4824 zu iOS 4.3.5 gibt Apple Gregor Kopf von Recurity Labs in Berlin als Entdecker an sowie Paul Kehrer aus dem Sicherheitsteam "SpiderLabs" des US-Unternehmens Trustwave. Kopf soll demnach im Auftrag des BSI aktiv geworden sein.

Mehr zum Thema

PC Magazin Backup Pro
Backup-Software zur Datensicherung