Apple bracht vrijdagavond een patch uit voor iOS. Het gaat om iOS 7.0.6 voor recente Apple-toestellen en om iOS 6.1.6 voor iPhone 3GS en de vierde generatie van de iPod touch. Volgens Apple zorgde de bug ervoor dat 'de authenticiteit van de verbinding niet kon worden vastgesteld'. "Het probleem is opgelost door ontbrekende validatiestappen toe te voegen", schrijft Apple. Het bedrijf heeft niet gemeld hoe de fout op het spoor is gekomen en of de fout al actief wordt misbruikt.

Ook in OS X

Na analyse zeggen beveiligingsexperts dat dezelfde fout ook in de huidige versies van Mac OS X zit, meldt persbureau Reuters. Hiervoor is nog geen patch beschikbaar, al wordt die spoedig verwacht. "Dit is een fundamentele bug in Apple's SSL-implementatie", aldus Dmitri Alperovich, CTO van beveiligingsbedrijf CrowdStrike. Ook Google-medewerker Adam Langley stelt dat OS X ook gevaar loopt.

Slecht

"Dit is zo slecht als maar kan", zegt cryptografie-professor Matthew Green van de John Hopkins Universiteit tegen Reuters. De fout in de SSL-encryptie betekent dat gebruikers gevaar lopen als ze bijvoorbeeld op openbare wifi-netwerken gebruiken diensten als Gmail en Facebook gebruiken. Zonder de fix kunnen kwaadwillende doen alsof ze een bepaalde beveiligde site zijn en berichten of gevoelige informatie onderscheppen.

Het probleem in SSL/TLS zou zich volgens NeoWin alleen voordoen in https-verkeer met directe ip-adressen en niet in url's met domeinnamen