iOS 4.3.5. steht zum Download bereit

Ein altes Problem ist zurück. Apple hatte vor zehn Tagen iOS 4.3.4. veröffentlicht. Nun muss das Unternehmen diese Version erneut nachbessern.

Um einen Fehler bei der Validierung von SSL-Zertifikaten beheben zu können, muss Apple sein zehn Tage altes iOS 4.3.4. nachbessern. Die neu erschienene Version ermöglicht es, möglichen Angreifern den verschlüsselten Datenverkehr mit einem manipulierten Zertifikat zu belauschen und zu modifizieren. Das Problem ist, iOS 4.3.4. überprüft nicht, ob der Aussteller eines Zertifikats tatsächlich zur Ausstellung von Zertifikaten berechtigt ist, also das CA-Bit in den sogenannten Basic Contraints gesetzt ist. Somit kann jeder mit einem gültigen Zertifikat neue Zertifikate erstellen. Sei es für die Domain der Hausbank oder Paypal beispielsweise, iOS würde sie als gültig anerkennen.

Bereits vor neun Jahren war dieses Problem aufgetaucht. Damals waren Webkit-Browser und Programme auf Basis der Microsoft CryptoAPI (Internet Explorer, Outlook und Co.) aufgrund der unzureichenden Validierung durch Man-in-the-middle-Angriffe (MITM) verwundbar. Mögliche Angriffe kann man mit dem Tool sslsniff testen.

Gregor Kopf war der Entdecker dieser Schwachstelle. Seine Firma „Recurity Labs“ evaluiert im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) Sicherheitsaspekte von iOS. Apple selbst gibt als Mitentdecker Paul Kehrer von Trustware an. Die fehlerbereinigte iOS Version 4.3.5. steht ab sofort via iTunes für das iPad, iPhone 3GS, iPhone 4 und iPod touch (ab Generation 3) zur Installation bereit.