Apple dicht eindelijk kritiek SSL-lek in OS X

Apple heeft dan toch een fout in OS X gedicht waardoor miljoenen gebruikers het slachtoffer konden worden van hackers.

Data onderscheppen of veranderen
In de begeleidende uitleg geeft het bedrijf toe dat een “aanvaller” data die via Safari, Mail, iCloud en andere Apple-programma’s werd verstuurd, “kon onderscheppen of veranderen”, ook al was het communicatiekanaal verondersteld veilig te zijn.

De fout werd al snel bekend als de “gotofail”-bug, naar het “gotofail”-commando dat per ongeluk twee keer opduikt in een bepaald deel van de broncode van Apple. Eenzelfde fout in iOS werd vorige week al hersteld.

[related_article id=”158256″]

Ontslag, nu!
De oplossing voor OS X liet echter een tijd op zich wachten, tot ongenoegen van veiligheidsexperts. “Wie bij Apple ook besliste dat de patch voor OS X 10.9.2 vier dagen op zich moest laten wachten, zou nu niet langer in die positie mogen zijn”, zo schreef Ryan Lackey, de oprichter van CryptoSeal, in een tweet.

De “gotofail”-bug kwam voort uit de manier waarop Apple de SSL/TLS-veiligheidsstandaard implementeerde. Doordat “gotofail” twee keer voorkwam, werd in sommige gevallen de controle van de ondertekening van de encryptie overgeslagen.

Chrome en Firefox niet aangetast
Software die geen gebruik maakt van Apple’s implementatie van het protocol, zoals Chrome of Firefox, hadden geen last van de bug.

De fout was ook niet langer hypothetisch. Een Nieuw-Zeelandse veiligheidsconsultant maakte een klein programmaatje dat inderdaad toegang gaf tot beveiligd verkeer wanneer een computer “Apple’s kapotte implementatie” van SSL/TLS gebruikte. 

Volgens Adam Langley, een software-ingenieur bij Google, zijn ook versies ouder dan iOS 7.0.6 en OS X 10.9.1 kwetsbaar door deze fout. Apple heeft de update uitgerold voor OS X Mavericks, Mountain Lion en Lion. De update wordt via de App Store aangeboden, maar is ook terug te viden op de Apple Downloads-pagina.