Domov Varnostna ura Apple odpravi osnovno napako ssl v ios 7

Apple odpravi osnovno napako ssl v ios 7

Video: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (November 2024)

Video: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (November 2024)
Anonim

Apple je tiho izdal iOS 7.06 pozno v petek popoldne in odpravil težavo pri tem, kako iOS 7 potrdi SSL certifikate. Napadalci lahko to težavo izkoristijo, da sprožijo napad med človekom v sredini in prisluhnejo vsem dejavnostim uporabnikov, so opozorili strokovnjaki.

"Napadalec z privilegiranim položajem v omrežju lahko zajema ali spreminja podatke v sejah, zaščitenih s protokolom SSL / TLS, " je Apple povedal v svojih nasvetih.

Uporabniki morajo takoj posodobiti.

Pazite na podstavke

Kot običajno Apple ni posredoval veliko informacij o težavi, vendar so varnostni strokovnjaki, ki so seznanjeni z ranljivostjo, opozorili, da bodo napadalci v istem omrežju kot žrtve lahko prebrali varne komunikacije. V tem primeru bi lahko napadalec prestregel in celo spremenil sporočila, ko prehajajo z uporabnikove naprave iOS 7 na zavarovana spletna mesta, kot sta Gmail ali Facebook, ali celo za spletne seje bančništva. Vprašanje je "temeljna napaka pri Applovem izvajanju SSL", je dejal Dmitri Alperovič, CTO družbe CrowdStrike.

Posodobitev programske opreme je na voljo za trenutno različico iOS za iPhone 4 in novejšo različico, iPod Touch 5. generacije in iPad 2 in novejšo različico. iOS 7.06 in iOS 6.1.6. Enaka napaka obstaja v najnovejši različici Mac OS X, vendar še ni bila popravljena, je na svojem blogu ImperialViolet zapisal Adam Langley, višji inženir pri Googlu. Langley je potrdil, da je bila napaka tudi v iOS 7.0.4 in OS X 10.9.1

Preverjanje veljavnosti certifikatov je ključnega pomena pri vzpostavljanju varnih sej, saj tako spletno mesto (ali naprava) preveri, ali informacije prihajajo iz zaupanja vrednega vira. Z potrjevanjem potrdila spletno mesto banke ve, da zahteva prihaja od uporabnika in ni napadalna zahteva napadalca. Uporabnikov brskalnik se zanaša tudi na potrdilo, s katerim preveri, da je odziv prišel s strežnikov banke in ne od napadalca, ki je sedel v sredini in prestrezal občutljivo komunikacijo.

Posodobite naprave

Langley je dejal, da Chrome in Firefox, ki namesto SecureTransporta uporablja NSS, ranljivosti ne vplivajo, tudi če je osnovni OS ranljiv, je dejal Langley. Ustvaril je testno spletno mesto na naslovu https://www.imperialviolet.org:1266. "Če lahko na vrata 1266 naložite spletno mesto HTTPS, potem imate to napako, " je dejal Langley

Uporabniki bi morali čim prej posodobiti svoje naprave Apple in ko je na voljo posodobitev OS X, da uporabijo tudi ta obliž. Posodobitve je treba uporabljati med zaupanja vrednim omrežjem, uporabniki pa naj se med potovanjem oz. V nezaupljivih omrežjih (zlasti Wi-Fi) dostopajo do varnih mest (zlasti Wi-Fi) /

"Na nepridipravah mobilnih in prenosnih napravah nastavite nastavitev 'Vprašaj, da se pridružijo omrežjem' na OFF, kar jim bo preprečilo prikazovanje pozivov za povezovanje v nezaupanja omrežja, « je zapisal Alex Radocea, raziskovalec iz podjetja CrowdStrike.

Glede na nedavne pomisleke glede možnosti vladnega preskakovanja, je lahko zaskrbljujoče dejstvo, da iPhoni in iPadi niso pravilno potrdili potrdil. "Ne bom govoril o podrobnostih o hroščev Apple, razen da bom povedal naslednje. Je resno izkoriščen in še ni pod nadzorom, " je na Twitterju objavil Matthew Green, profesor kriptografije z univerze Johns Hopkins.

Apple odpravi osnovno napako ssl v ios 7