Apple stelt iOS 7.0.6 beschikbaar met belangrijke SSL-fix
Apple heeft iOS 7.0.6 beschikbaar gesteld aan gebruikers en lost daarmee een groot beveiligingsprobleem in iOS op. Apple meldt dat een probleem met SSL-verbindingen is opgelost, maar gaf geen verdere details. De kwetsbaarheid blijkt al sinds iOS 6.0 aanwezig te zijn en bracht data van iOS-gebruikers in gevaar. Een soortgelijk lek is nog aanwezig in OS X en zal binnenkort worden gefixt. Er verscheen ook een update voor de Apple TV. Gezien de ernst van de situatie raden we iedereen aan om de updates zo snel mogelijk te installeren.
Het gaat in feite om twee versies:
- iOS 7.0.6 voor alle recente iDevices
- iOS 6.1.6 voor iPhone 3GS en iPod touch 4e gen.
iOS 7.0.6 heeft buildnummer 11B651 gekregen en is slechts 16,8MB klein op de iPhone 5s. De update volgt kort op iOS 7.0.5, dat een aantal bugfixes voor Chinese iPhones bevat. Sommige Europese iPhone-gebruikers kregen iOS 7.0.5 gepusht door Apple, andere niet. Met iOS 7.0.6 brengt alle recente iDevices weer op één lijn.
SSL-probleem
Apple heeft met deze update een groot beveiligingsprobleem opgelost. Nu pas blijkt, dat er sinds iOS 6.0 een gigantisch beveiligingslek aanwezig was, waardoor aanvallers beveiligde SSL-verbindingen konden afluisteren. Het ging om een lek waarbij een aanvaller die zich tussen gebruiker en een website bevond, alle communicatie kon onderscheppen. Er kon dan een man-in-the-middle-aanval plaatsvinden, bijvoorbeeld als je inlogde op een onbeveiligd draadloos netwerk in een café.
Op papier was de communicatie beveiligd met SSL, wat voldoende zou moeten zijn. Het probleem was dat Apple in iOS de authenticiteit van de verbinding niet afdoende controleerde met TLS. In iOS 7.0.6 is dit probleem opgelost. Maar het wekt verwondering dat het lek al sinds iOS 6.0 bestaat, zonder dat beveiligingsonderzoekers het hebben opgemerkt en zonder dat Apple actie ondernam. Beveilingsonderzoekers hebben inmiddels bevestigd dat het lek in iOS 5.1 niet aanwezig was en dus later moet zijn geïntroduceerd in iOS. Technische details over de SSL/TLS-bug vind je hier.
SSL-lek ook in OS X
Een vergelijkbaar lek is volgens meerdere beveiligingsonderzoekers aanwezig in huidige versies van OS X. Apple heeft laten weten dat er ‘zeer binnenkort’ ook een update voor het Mac-besturingssysteem wordt uitgebracht.
iOS 7.1 is onderweg
Apple heeft de afgelopen maanden steeds kleine updates voor iOS uitgebracht, zonder dat er echt grote functionele wijzigingen in zaten. Ondertussen wordt gewerkt aan iOS 7.1, waarvan al een aantal betaversies naar ontwikkelaars zijn gestuurd. Daarin zullen wel wat meer aanpassingen worden gedaan. Begin februari verscheen beta 5, dat waarschijnlijk ook meteen de laatste zal zijn. De officiële versie van iOS 7.1 wordt volgens geruchten in de loop van maart 2014 verwacht. Er zou onder andere een nieuwe beheertool in zitten.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 120 reacties