Domov Securitywatch Apple opravuje základnú chybu ssl v systéme ios 7

Apple opravuje základnú chybu ssl v systéme ios 7

Video: Как откатиться до iOS 10.3.3 с iOS 12 на iPhone 5s, iPad Air, iPad Mini 2,3 [Mac] (November 2024)

Video: Как откатиться до iOS 10.3.3 с iOS 12 на iPhone 5s, iPad Air, iPad Mini 2,3 [Mac] (November 2024)
Anonim

Spoločnosť Apple v piatok popoludní ticho vydala iOS 7.06, čím sa vyriešil problém v spôsobe, akým iOS 7 overuje certifikáty SSL. Útočníci môžu tento problém využiť na spustenie útoku typu „muž v strede“ a upozorňujú expertov na odposluch všetkých aktivít používateľov.

„Útočník s privilegovanou sieťovou pozíciou môže zachytávať alebo upravovať údaje v reláciách chránených SSL / TLS, “ uviedla spoločnosť Apple vo svojom odporúčaní.

Používatelia by mali okamžite aktualizovať.

Dajte si pozor na Eavesdroppers

Ako obvykle, Apple neposkytol veľa informácií o tomto probléme, ale odborníci v oblasti bezpečnosti oboznámení s touto zraniteľnosťou varovali, že útočníci v rovnakej sieti ako obeť budú schopní čítať bezpečnú komunikáciu. V tomto prípade by útočník mohol zachytiť a dokonca upraviť správy, ktoré prechádzajú zo zariadenia iOS 7 používateľa na zabezpečené stránky, ako sú Gmail alebo Facebook, alebo dokonca na relácie online bankovníctva. Ide o „zásadnú chybu v implementácii SSL spoločnosti Apple“, uviedol Dmitri Alperovich, CTO spoločnosti CrowdStrike.

Aktualizácia softvéru je k dispozícii pre aktuálnu verziu iOS pre iPhone 4 a novšie verzie, iPod Touch 5. generácie a iPad 2 a novšie verzie. iOS 7.06 a iOS 6.1.6. Rovnaká chyba existuje aj v najnovšej verzii systému Mac OS X, zatiaľ však nebola opravená, na svojom blogu ImperialViolet napísal Adam Langley, vedúci inžinier spoločnosti Google. Langley potvrdil, že chyba bola aj v systéme iOS 7.0.4 a OS X 10.9.1

Overenie certifikátu je rozhodujúce pri vytváraní bezpečných relácií, pretože takto web (alebo zariadenie) overuje, či informácie pochádzajú z dôveryhodného zdroja. Overením certifikátu webová stránka banky vie, že žiadosť prichádza od používateľa a nejde o podvrhnutú žiadosť útočníka. Prehliadač používateľa sa tiež spolieha na certifikát na overenie odpovede, ktorá prišla zo serverov banky, a nie od útočníka, ktorý sedí v strede a zachytáva citlivú komunikáciu.

Aktualizujte zariadenia

Zdá sa, že prehliadač Chrome a Firefox, ktorý namiesto protokolu SecureTransport používa systém NSS, nie sú touto chybou zabezpečenia ovplyvnení, a to ani v prípade, ak je zraniteľný základný operačný systém, uviedol Langley. Vytvoril testovacie stránky na adrese https://www.imperialviolet.org:1266. „Ak môžete načítať stránku HTTPS na porte 1266, máte túto chybu, “ povedal Langley

Používatelia by mali aktualizovať svoje zariadenia Apple čo najskôr a keď je k dispozícii aktualizácia OS X, aby túto opravu tiež uplatnili. Aktualizácie by sa mali uplatňovať počas dôveryhodnej siete a používatelia by sa počas cestovania / používateľov mali skutočne vyhnúť prístupu na zabezpečené stránky v nedôveryhodných sieťach (najmä Wi-Fi) /

„Na mobilných a prenosných zariadeniach, ktoré nie sú pripojené, prepnite nastavenie„ Požiadať o pripojenie k sieťam “na možnosť VYP, čo im zabráni zobrazovať výzvy na pripojenie k nedôveryhodným sieťam, “ napísal Alex Radocea, výskumný pracovník z spoločnosti CrowdStrike.

Vzhľadom na nedávne obavy týkajúce sa možnosti vládneho snoopingu môže byť pre niektorých alarmujúca skutočnosť, že telefóny iPhone a iPad nepotvrdzujú správne certifikáty. "Nebudem hovoriť podrobnosti o chybe Apple okrem toho, aby som uviedol toto. Je to vážne využiteľné a ešte nie je pod kontrolou, " uviedol Matthew Green, profesor kryptografie na Johns Hopkins University, zverejnený na Twitteri.

Apple opravuje základnú chybu ssl v systéme ios 7