Updates erschienen Apple und Microsoft schließen "Freak"-Sicherheitslücke

Die Sicherheitslücke "Freak" betrifft Mobilgeräte, aber auch Macs und Windows-Rechner. Nun haben Apple und Microsoft Sicherheits-Updates veröffentlicht. Microsoft schließt nebenbei eine Uralt-Lücke, die längst als behoben galt.

Microsoftzentrale in Redmond: Update wegen "Freak" veröffentlicht
AP/dpa

Microsoftzentrale in Redmond: Update wegen "Freak" veröffentlicht


Mit einem Update für sein Mac-Betriebssystem OS X und das Mobilsystem iOS hat Apple ein unter dem Namen "Freak" bekanntes, schwerwiegendes Verschlüsselungsproblem behoben. Die Schwachstelle hatte Angreifern die Möglichkeit eröffnet, bei vermeintlich sicheren Internetverbindungen mit gezielten, aber aufwändigen Attacken den Datenverkehr mitzuschneiden.

Apples Aktualisierung betrifft die Versionen Mountain Lion, Mavericks und Yosemite von OS X. Das Unternehmen hat aus seiner Software die Unterstützung für schwache RSA-Schlüssel entfernt.

Die Schwachstelle "Freak" geht auf die Achtziger- und Neunzigerjahre zurück, als US-Firmen keine effiziente Verschlüsselungstechnologien ins Ausland liefern durften. Das Verbot wurde Ende der Neunzigerjahre aufgehoben, die alte unsichere Verschlüsselung verschwand allerdings nicht komplett. Forscher hatten herausgefunden, dass sie betroffene Browser wie Apples Safari beim Ansteuern bestimmter Webseiten dazu bewegen können, den veralteten Standard zu verwenden. Die Verschlüsselung kann mit Hilfe heutiger Computer innerhalb weniger Stunden geknackt werden.

Microsofts holpriges "Freak"-Update

Bei Apples Konkurrent Microsoft ging die wegen "Freak" erforderliche Sicherheitsaktualisierung schneller, aber holpriger vonstatten. Wie "Heise" am Wochenende berichtete, legte ein zunächst ausgeliefertes Update bei einigen Rechnern die Windows-Update-Funktion lahm. Die veränderten Verschlüsselungs-Algorithmen hätten außerdem eine Reihe von HTTPS-Websites unerreichbar gemacht.

Am monatlichen Patch Tuesday hat Microsoft nun nachgebessert. Als eins von 14 Problemen, die diverse neue Updates lösen, wird auch "Freak" erwähnt. Das Problem wird dabei in seiner Gefährlichkeit nur als hoch, nicht aber kritisch eingestuft.

In Microsofts Mitteilung heißt es: "Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows, die es erleichtert, die öffentlich bekannt gegebene 'Freak'-Technik auszunutzen, die ein branchenweites Problem darstellt, das nicht nur Windows-Betriebssysteme betrifft."

Stuxnet lässt grüßen

Neben "Freak" haben sich Microsofts Techniker noch einem weiteren bekannten Leck gewidmet, das Windows betrifft. Es handelt sich um den Computerwurm Stuxnet, der einst von den USA und Israel entwickelt worden war. Das Schadprogramm war zur Sabotage iranischer Urananreicherungsanlagen eingesetzt worden.

Stuxnet diente dabei nicht dem Mitschneiden von Daten, sondern sollte den Angreifern eine Hintertür im Zielsystem öffnen. Microsoft hatte bereits im August 2010 einen Patch zur Verfügung gestellt, der das Leck schließen sollte.

Sicherheitsforscher hätten allerdings gewarnt, dass die Gefahr noch nicht gebannt gewesen wäre, schreibt das Tech-Magazin "Ars Technica". Und tatsächlich scheinen Windows-Rechner über die vergangenen fünf Jahre hinweg weiter anfällig gewesen zu sein. Erst das diesen Monat von Microsoft bereitgestelltes Update MS15-020 soll die Lücke endgültig geschlossen haben.

Microsoft selbst erwähnt den Begriff Stuxnet in seinen Patch-Tuesday-Ausführungen nicht, es ist aber von einer "Sicherheitsanfälligkeit" die Rede, die "Remotecodeausführung ermöglichen" könne. Das Problem wurde mit der höchsten Warnstufe "kritisch" versehen.

meu



Forum - Diskutieren Sie über diesen Artikel
insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
Untertan 2.0 11.03.2015
1. hundertprozentige Tochter der NSA
---Zitat--- Und tatsächlich scheinen Windows-Rechner über die vergangenen fünf Jahre hinweg weiter anfällig gewesen zu sein. ---Zitatende--- Zufall? Unfähigkeit? Von wegen: Absicht!
etguenni 11.03.2015
2. FREAK-Lücke nicht ganz geschlossen...
Die Info über die geschlossene FREAK-Lücke im Titel ist nicht ganz stimmig. Ich habe heute früh die Details im Blog unter http://www.borncity.com/blog/?p=162179 berichtet. Nach meinen Recherchen steht der Patch nicht für Windows 10 Technical Preview zur Verfügung.
Pentam 11.03.2015
3.
Zitat von etguenniDie Info über die geschlossene FREAK-Lücke im Titel ist nicht ganz stimmig. Ich habe heute früh die Details im Blog unter http://www.borncity.com/blog/?p=162179 berichtet. Nach meinen Recherchen steht der Patch nicht für Windows 10 Technical Preview zur Verfügung.
Erwarten Sie ernsthaft für eine Testversion eines Betriebssystems, die noch nicht für den Einsatz gedacht ist, vollen Update Support? Und darüber schreiben Sie auch noch einen Artikel? Naja, das Internet is ja zum Glück ebenso geduldig wie Papier...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.