"Goto"-Lücke:
Apple veröffentlicht Patch für OS X

Die schwere Schwachstelle war am Freitag erstmals näher beschrieben worden, als Apple ein kritisches Update für sein mobiles Betriebssystem iOS veröffentlichte. Seitdem wurde bekannt, dass die Lücke auch das Desktop-Betriebssystem von Apple betrifft.

Zwar vergingen nur wenige Tage, bis Apple tatsächlich mit der Verbreitung eines Updates beginnt, das die Lücke schließt, doch wahrscheinlich bestand seit Monaten oder gar noch länger eine breite Angriffsfläche. Das Problem betrifft offenbar sämtliche noch unterstützte Ausgaben von Mac OS X.

Im Fall von OS X Mavericks und Mountain Lion soll das neue Update schnelle Abhilfe bringen. Für Nutzer von Mac OS 10.9.2 "Mavericks" wird der Patch als Teil eines größeren Updates bereitgestellt, das darüber hinaus eine Reihe von kleineren Verbesserungen für die Apple-eigenen Anwendungen Mail, iMessage und Safari, sowie eine Funktion zum Starten und Annehmen von Telefonaten über FaceTime mitbringt.

Der Bug in iOS und Mac OS X erhielt schnell den "Spitznamen" "Goto Fail" in Anlehnung an die fehlerhafte Codezeile, die ihn auslöste. Der Fehler betrifft grundsätzlich alle Anwendungen, die Apples SSL-Bibliothek SecureTransport nutzen, darunter auch FaceTime, Mail und Calendar. Nach Angaben von Sicherheitsexperten bestand der Fehler wohl schon seit September 2012, als die SSL-Bibliothek zusammen mit iOS 6 veröffentlicht wurde.

Durch den Fehler werden SSL-Zertifikate in Verbindung mit SecureTransport nicht ordnungsgemäß geprüft, so dass sich theoretisch eine beliebige Website als die Bank des Kunden oder dessen E-Mail-Anbieter ausgeben könnte. Die tatsächliche Bedrohung scheint jedoch kleiner zu sein als aufgrund der Zahl betroffener Systeme vielleicht anzunehmen wäre. Ein Angreifer muss innerhalb der Reichweite des vom Anwender genutzten WLANs sein, so dass man sich im Grunde durch die Nutzung von privaten Zugängen schützen kann.