iOS 4.3.5 steht zum Download bereit

Bereits zehn Tage nach dem letzten iOS Update auf Version 4.3.4 steht seit eben Version 4.3.5 zum Download bereit. Dies beseitigt eine Sicherheitslücke im Zertifikat-System: Fixes a security vulnerability with certificate validation.

Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS

Ein Angreifer kann den verschlüsselten Datenverkehr mit einem manipulierten Zertifikat belauschen und modifizieren, da iOS 4.3.4 nicht überprüft, ob der Aussteller eines Zertifikats tatsächlich zur Ausstellung von Zertifikaten berechtigt ist, also das CA-Bit in den sogenannten Basic Contraints gesetzt ist. Jedermann kann mit einem gültigen Zertifikat also beliebige weitere Zertifikate, etwa für paypal.com oder die Domain der Hausbank, erstellen, die iOS dann klaglos als gültig anerkennt.

Die Version kommt als Build 8L1 und ist für das GSM iPhone 4, iPhone 3GS, alle iPads, sowie die dritte und vierte iPod touch Generation. Eine separate Version iOS 4.2.10 (Build 8E600) ist für das CDMA iPhone verfügbar.

Jailbreakern wird geraten, weder iOS 4.3.4 noch 4.3.5 zu installieren.

PS: Übrigens ist dies eine neun Jahre alte Sicherheitslücke, langsam wird es peinlich.

Direkt-Download:

Kommentare angetrieben durch Disqus

So viele Abonenten dieser Website können nicht irren:


Dinge und Sachen im Fuss

XStat.de