Skip to content

goto fail

Am Freitag tauchte recht überraschend ein iOS-Update mit der Versionsnummer 7.0.6 auf. Der Beipackzeiitel war nicht sonderlich gesprächig, sprach nur von irgendwas mit SSL. Nachdem Apple ja den Kern seinesBetriebssystems im Quellcode veröffentlicht, machten sich danach mal Leute auf die Suche und fanden einen Fehler in der Ecke, der sehr wahrscheinlich der Grund für das Update gewesen sein könnte. Kurzfassung: Da hat jemand Mist gebaut im Code, so dass bei bestimmten Konstellationen die SSL-Prüfung immer fehlgeschlagen ist (was da wohl dazu führt, dass auch falsche Zertifikate angenommen werden). Blöd, ganz besonders blöd. Und der selbe Fehler wohnt nicht nur im mobilen Betriebssystem, sondern dürfte auch in OS X anzutreffen sein. Da steht ein Fix noch aus, wird aber entsprechend dringend vermisst.

Nachdem der Code gefunden ist, haben sich Leute mal angesehen, wo und wann der denn eingesetzt wurde/wird. Dabei fiel auf, dass die Adoption auf Mobilgeräten zeitlich mit dem Punkt zusammenfällt seit dem die NSA bei Apple Daten rausgetragen haben will. Da kann man dann Stapel an Verschwörungstheorien auspacken, oder an Dummheit bei Apple und dessen Ausnutzen durch die NSA glauben, wobei ich da immer noch das Problem habe, dass PRISM das falsche Programm für Angriffe auf Mobilgeräte ist. PRISM ist das Programm, wo die NSA von den Servern der Firmen Kundendaten rausträgt, mutmaßlich durch entsprechende Schnittstellen, die eher nicht mit Fehlern in Mobilbetriebssystemen zusammenfallen müssen. Aber immerhin kann man so weiter an die wortreichen, spezifischen Dementis glauben, dass Apple ja nie aktiv mit der NSA kooperiert habe.

Wie auch immer, der Fix darf jetzt noch zeitnah (Tage, nicht Wochen!) für Mac OS X angepasst werden (dann kommt da eben ein Security-Fix oder ein außerplanmäßiges 10.9.2, Details sind mir da egal), und dann wird der hoffentlich auch in die nächsten planmäßigen Updates eingebaut (iOS 7.1 ist ja immer noch nicht da, da leidet Springboard vor allem auf dem Mitina-Pad bei mir), und die dürfen dann kommen, wenn was auch immer die bisher aufhält eintrifft. Übrigens fehlen bei anderen Firmen aus der NSA-Liste immer noch Hinweise auf Fehler, die die NSA mutmaßlich genutzt hat. Gab es da zu viele, oder schaut nur niemand mehr genau hin, was Microsoft und Co tun? Oder sind die einfach nicht Open? Und was ist mit Google, Android vielleicht?

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!