Apple heeft updates op de servers voor ons klaarstaan voor zowel iOS 6 als 7 en die zorgen er allebei voor dat er een bug verholpen wordt. Het lijkt vreemd voor Apple om een update uit te brengen voor één bug, maar het is dan ook een stevige bug die de communicatie van een iPhone, iPod touch of iPad een stuk minder veilig maakt.

In dit support-document staat het duidelijk omschreven:

Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS

Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.

Met andere woorden, deze update zorgt ervoor dat je weer echt goed beveiligd bent als je gebruik maakt van een beveiligde verbinding. Als je wilt weten wat SSL/TLS is, en waarom dat zo belangrijk is, dan kan je daarover op deze Wikipedia-pagina meer te weten komen.

De update is op je iDevice zelf naar binnen te halen, maar kan natuurlijk ook via iTunes gedaan worden.


met dank aan forumlid 'Spooter' voor het melden van dit nieuws

Binnenkort waarschijnlijk ook een update van OS X.

http://tweakers.net/nieuws/94482/os-x-en-ios-vatbaar-voor-man-in-the-middle-aanvallen.html

Mijn iPad zoekt zich een ongeluk naar de update maar komt er niet uit. Zit de halve wereld deze te downloaden of zit het probleem bij mijzelf?

Ik denk het.

@ pieter tollens: je kan de firmwares ook zelf downloaden en dan in iTunes de update-knop met de Alt-toets ingedrukt aanklikken en dan het gedownloade bestand te kiezen. Hier vind je de verschillende firmwares:

• voor iPhone
  
• voor iPad
  
• voor iPod touch

Bedankt voor je hulp. Ook in iTunes ging het tot 3 x niet goed. Nu net weer geprobeerd en toen kwam het bestand wel volledig binnen.
En ondertussen is de update gelukt.

Inmiddels is het hier gelukt, maar helaas moest ik daarvoor wel mijn Iphone 5 opnieuw installeren en vervolgens de reserve kopie terugzetten.
Daarna moest de update weer binnengehaald worden met hetzelfde probleem. Na de installatie en reserve kopie voor de 2e maal erop te hebben gezet ging het de 3e maal downloaden wel goed. Gelukkig heb ik al mijn bestanden kunnen behouden.
Zijn er meer mensen met dit probleem?

Gelukt op iPad.
Geen problemen tot dusver.

Hier op de 5S binnen de spreekwoordelijke "poep en scheet" geregeld.
Geen problemen.
Ga morgen mijn vriendin haar 5 doen.....

Pieterr om 11:47, 22-02-2014
Binnenkort waarschijnlijk ook een update van OS X.

http://tweakers.net/nieuws/94482/os-x-en-ios-vatbaar-voor-man-in-the-middle-aanvallen.html

zeer binnenkort als het goed is:

http://www.reuters.com/article/2014/02/22/us-apple-encryption-idUSBREA1L10220140222

Dit is een vrije desastreuze bug. Iedereen met controle over een bepaald netwerk, kan zich hierdoor voordoen als een willekeurige 'https' site.

Een paar jaar geleden was er het drama rond Diginotar, waardoor bijvoorbeeld dubieuze overheden zich voor konden doen als google, en zo veilige geachte webmail van hun burgers onderscheppen.

Deze bug is veel groter, want hiervoor hoef je eigenlijk helemaal niks te hacken om dit voor elkaar te krijgen.

Heb het zelf getest, de bug zit niet in OS X 10.8.x en eerder, maar dus wel in 10.9, 10.9.1 en iOS 6.0 - 6.1.5  en 7.0 - 7.0.5.
Iedereen die een van die OS'en gebruikt is dus kwetsbaar, en ik weet uit eigen ervaring dat heel veel mensen het updaten uitstellen of helemaal niet doen.

Hier meer info: https://www.imperialviolet.org/2014/02/22/applebug.html

En hier een link om te testen of je kwetsbaar bent: https://https://www.imperialviolet.org:1266

@Backspin: Bedankt voor die link! De bug ziet er zo simpel uit, en wordt blijkbaar niet opgemerkt door de diverse compilers, zelfs op de hoogste warning levels. (source)

Doet me denken aan een artikel uit 1968.

@Pieterr: bedankt voor de link. Fijn om te zien dat Dijkstra's inzichten nog niet vergeten zijn en nog steeds niet ingehaald door de tijd. Wat kon die man ingewikkelde dingen akelig simpel doen voorkomen... Ik heb hem helaas maar één keer horen spreken, maar dat vergeet je niet. Voor de liefhebbers van zijn werk: Alle EWD's zijn hier te vinden: http://ewdijkstra.net

Toen ik van de week de ssl-code van Apple te zien kreeg, kreeg ik in ieder geval wel rillingen van hoe je je code absoluut niet wil schrijven: Ongelofelijk dat Apple dit soort prutswerk tolereert

Hoe te updaten naar 6.1.6 of kan dat helemaal niet op de 4s?
Mijn 4S heeft nu iOS 6.1.3
Binnen itunes zie ik alleen de mogelijkheid om naar versie 7.0.6 "werk bij" te doen. Nergens enige verwijzing hoe de 6.1.6 erop te zetten. Geeft het zelf ook nergens aan.
Ik zou natuurlijk wél de veiligheidsupdate willen op de 4s. Hoe moet dat dan? (Ik wil absoluut géén ios7 op mijn 4s hebben).

Voor een restore heb ik jouw link, @Robert, van 22feb. gezien: (maar dat schijnt nu niet meer te kunnen en is dan niet van toepassing)
Bij 'latest' staat: 6.1.6 (3GS): iphone 2,1_6.1.6_10B500_restore.ipsw
ook bij 'full list' staat iOS 6.1.3 (4S): iphone 4,1_6.1.3_10B329_Restore.ipsw

@  RoniMac: Hmm, ik zie dat je gelijk hebt.

Waarom trouwens niet naar iOS 7?
(ik zou zelf niet meer terug willen naar iOS 6).

@ Robert,
Ik heb de nodige lettertjes gezien op verschillende fora (binnen- en buitenland) en kom tot de conclusie dat apple ons allemaal FORCEERT om iOS-7 te gaan gebruiken.
 Er is géén update naar iOS-6.1.6 mogelijk voor welk device dan ook wanneer het idevice door apple in staat wordt geacht om met iOS-7 te kunnen werken.
 Alleen idevices die géén iOS-7 aan kunnen (het "oudere" idevice?), krijgen de mogelijkheid om tot iOS-6.1.6 op te waarderen om veilig(-er) te blijven.

 Nu zit ik vervolgens met het volgende essentiële probleem:
 Wie stelt mij gerust dat ik mijn dure 4S nog op de oude wijze (lokaal  synchen van contacts, agenda etc.) kan blijven gebruiken?
 iPhone 4S met iOS-6.1.3 "MOET" naar iOS-7.* en Mac met ML 10.8.5.: usb-kabel synchen nog mogelijk?  JA, kan nog steeds.

Er is recentelijk een enigszins vergelijkbare bug gevonden in Linux. Wederom is er een stukje 'goto' code in het spel, alhoewel hier het echte probleem zit in het gebruik van één variable voor zowel de integer statusinfo als ook de boolean returnvalue. Wanneer leren we het (gebruiken van goto) nu eens (af)?

http://blog.existentialize.com/the-story-of-the-gnutls-bug.html




Zie ook: http://embeddedgurus.com/barr-code/2014/03/apples-gotofail-ssl-security-bug-was-easily-preventable/