Apple hat nach eigenen Angaben die Goto-Fail-Sicherheitslücke im Macintosh-Betriebssystem geschlossen. Der Fehler hatte es Angreifern ermöglicht, sich in vermeintlich sichere SSL-Verbindungen einzuklinken und deren Inhalt auszulesen und zu manipulieren. Um den Bug zu beheben, müssen Mac-Anwender ein Software-Update des Mac OS X 10.9.2 einspielen, das ab sofort zur Verfügung steht.

Der Sicherheitsfehler betrifft das aktuelle Betriebssystem Mac OS X 10.9 Mavericks. In älteren Mac-OS-X-Versionen bestand der Fehler offenbar nicht.  Zuvor hatte Apple bereits einen Patch für seine Mobilgeräte iPhone und iPad veröffentlicht. Dort hatte es eine ähnliche Lücke im SSL-System des Mobilbetriebssystems iOS gegeben.

Die gesicherte Kommunikation über SSL wird etwa bei Onlinebanking oder beim Bezahlen in Onlineshops eingesetzt und soll den Datenaustausch vor Dritten schützen. Bislang gibt es keine Angaben dazu, ob und in welchem Umfang die Lücke tatsächlich ausgenutzt wurde.

Ist Prism der Ursprung des SSL-Bugs?

Über den Ursprung des Bugs ist noch nichts bekannt. Im Netz wird vermutet, die Sicherheitslücke könnte etwas mit dem NSA-Programm Prism zu tun haben. Der SSL-Bug ist zuerst in iOS 6.0 aufgetaucht, das Ende September 2012 veröffentlicht wurde. Im Oktober 2012 wurde Apple laut einer geleakten NSA-Powerpoint-Präsentation zum Prism-Programm hinzugefügt.

Der Apple-Experte und Blogger John Gruber listet fünf Möglichkeiten auf. Im besten Fall hat die NSA nichts von der Sicherheitslücke gewusst, im schlimmsten Fall wurde die Lücke in Absprache mit Apple im Quellcode platziert. Gruber geht davon aus, dass die NSA zwar von der Lücke wusste und sie missbrauchte, der Bug selbst sei aber nicht bewusst platziert worden. Googles SSL-Experte Adam Langley schreibt, er könnte etwa auf unzureichenden Code Review, das heißt eine unzureichende manuelle Überprüfung von Quellcodes, zurückgehen.