goto fail? Kritische Apple-SSL-Schwachstelle mit PHP gestopft!
Kommentare

Vor ein paar Tagen hat sich Apple mit der goto fail Security-Schwachstelle im SSL-Handling zum Gespött der Webwelt gemacht. Der Security-Experte Stefan Esser hilft jetzt dabei, die Lücke zu schließen. Mit PHP.

Die „goto fail“ Sicherheitslücke ist letzte Woche in Apples Security.framework aufgetreten. Und die Schwachstelle hat es in sich, denn sie erlaubt Man-in-the-Middle-Angriffe über ansonsten sichere SSL-Verbindungen.

Schuld daran ist ein goto fail zu viel im Code. Denn genau das wird in jedem Fall ausgeführt und verhindert den Aufruf von sslRawVerify – somit findet keine Verifizierung des Keys statt. Und das ist selbstverständlich nicht ganz Sinn der Übung.

Apple hatte darauf gestern eilig seine iOS-Versionen gepatched, darüber aber ganz vergessen, dass OS X Mavericks ebenfalls betroffen ist.

Die Security-Experten von SektionEins haben sich die Sache genauer angesehen und einen Patch veröffentlicht. Den sollte man zwar mit Bedacht einsetzen, aber er hilft einigen betroffenen Systemen zumindest einmal über die Runden:

This is of course just a quick and dirty solution to test the impact of this vulnerability. You should not attempt to run this on production systems. And don’t forget that we only patch the 64bit version of the Security.framework. If your code is 32bit you have to port the fix to 32bit.

In gewohnt trockener Art meldete sich Esser heute Mittag auf Twitter:

Die Sache stellt sich nun wie folgt dar: Der Patch ist nicht ohne weiteres einzuspielen – deswegen hat das Team einen Patcher in PHP geschrieben, der den Patch auf dem System installiert. Auf eigenes Risiko, versteht sich.

Apple SSL Bug – Patch von SektionEins Der Patch in Aktion, Quelle: SektionEins

Weitere Informationen zum Patch, zur Sicherheitslücke an sich und Screenshots vor und nach dem erfolgreichen Einspielen findet man im Blogpost „Apple OSX Mavericks 10.9.x SSL Key Exchange Verification Vulnerability (CVE-2014-1266)“.

Aufmacherbild: A ‚Fail‘ Stamp over a white background. von Shutterstock / Urheberrecht: chrisdorney

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -