Koti Securitywatch Apple korjaa keskeisen SSL-virheen ios 7: ssä

Apple korjaa keskeisen SSL-virheen ios 7: ssä

Video: Apple Event — November 10 (Marraskuu 2024)

Video: Apple Event — November 10 (Marraskuu 2024)
Anonim

Apple julkaisi hiljaisesti iOS 7.06: n myöhään perjantaina iltapäivällä, korjaa ongelman, jolla iOS 7 validoi SSL-varmenteet. Hyökkääjät voivat hyödyntää tätä asiaa käynnistääkseen keskellä olevan hyökkäyksen ja salakuuntelun kaiken käyttäjän toiminnan suhteen, asiantuntijat varoittivat.

"Hyökkääjä, jolla on etuoikeutettu verkkoasema, voi kaapata tai muokata tietoja SSL / TLS: n suojaamissa istunnoissa", Apple sanoi ohjeessaan.

Käyttäjien tulee päivittää heti.

Varo salakuuntelijoita

Kuten tavallista, Apple ei antanut paljon tietoa asiasta, mutta haavoittuvuuteen perehtyneet turvallisuusasiantuntijat varoittivat, että uhrin kanssa samassa verkossa olevat hyökkääjät voivat lukea suojattua viestintää. Tässä tapauksessa hyökkääjä voi siepata ja jopa muokata viestejä, kun ne siirtyvät käyttäjän iOS 7 -laitteesta suojattuihin sivustoihin, kuten Gmailiin tai Facebookiin, tai jopa verkkopankkisessioita varten. Aihe on "perustavanlaatuinen virhe Applen SSL-toteutuksessa", kertoi CrowdStriken johtaja Dmitri Alperovich.

Ohjelmistopäivitys on saatavana iOS: n nykyiselle versiolle iPhone 4: lle ja uudemmalle, viidennen sukupolven iPod Touchille ja iPad 2: lle tai uudemmalle. iOS 7.06 ja iOS 6.1.6. Sama virhe on viimeisimmässä Mac OS X -versiossa, mutta sitä ei ole vielä korjattu, Googlen vanhempi insinööri Adam Langley kirjoitti ImperialViolet-blogissaan. Langley vahvisti, että virhe oli myös iOS 7.0.4: ssä ja OS X 10.9.1: ssä

Varmenteen validointi on kriittisen tärkeää suojattujen istuntojen luomisessa, koska näin sivusto (tai laite) varmistaa, että tiedot ovat peräisin luotetusta lähteestä. Vahvistamalla varmenteen pankin verkkosivusto tietää, että pyyntö tulee käyttäjältä, eikä se ole hyökkääjän väärentämä pyyntö. Käyttäjän selain luottaa myös sertifikaattiin varmistaakseen, että vastaus tuli pankin palvelimilta eikä keskeltä istuvalta hyökkääjältä ja sieppaamalla arkaluontoista viestintää.

Päivitä laitteet

Vaikuttaa siltä, ​​että Chrome ja Firefox, jotka käyttävät NSS: tä SecureTransportin sijaan, eivät vaikuta haavoittuvuuteen, vaikka taustalla oleva käyttöjärjestelmä olisi haavoittuvainen, Langley sanoi. Hän loi testisivun osoitteessa https://www.imperialviolet.org:1266. "Jos voit ladata HTTPS-sivuston porttiin 1266, sinulla on tämä vika", Langley sanoi

Käyttäjien tulee päivittää Apple-laitteet mahdollisimman pian, ja kun OS X -päivitys on saatavana, käyttää myös kyseistä korjausta. Päivitykset olisi otettava käyttöön luotettavassa verkossa, ja käyttäjien tulisi todella välttää pääsyä turvallisille sivustoille luottamattomissa verkoissa (etenkin Wi-Fi) matkoillaan /

"Aseta lähettämättömissä mobiili- ja kannettavissa laitteissa 'Ask to Join Networks' -asetus POIS-asentoon, mikä estää niitä näyttämästä kehotuksia muodostaa yhteys epäluotettaviin verkkoihin", kirjoitti CrowdStrike-tutkija Alex Radocea.

Kun otetaan huomioon äskettäiset huolet hallituksen snooppausmahdollisuuksista, se, että iPhones ja iPads eivät validoineet varmenteita oikein, voivat olla huolestuttavia joillekin. "En aio puhua yksityiskohtia Apple-vikasta paitsi sanoakseni seuraavan. Se on vakavasti hyväksikäytettävissä eikä ole vielä hallinnassa", Johns Hopkinsin yliopiston salausprofessori Matthew Green postitti Twitteriin.

Apple korjaa keskeisen SSL-virheen ios 7: ssä