html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

«Детский» баг Apple привёл к серьёзной угрозе безопасности на iOS и до сих пор не исправлен на OS X

21 февраля Apple выпустила обновления прошивок , исправляющее ошибку с безопасным подключением SSL. Как выяснилось, баг был вызван дилетантской ошибкой в нескольких строках кода и, возможно, был размещён благодаря АНБ.

В пятницу Apple выпустила сразу несколько обновлений прошивок: iOS 7.0.6 для iPhone и iPad, 6.1.6 для iPhone 3GS и iPod Touch, а также 6.0.2 для Apple TV. Несмотря на то, что обновления 7.0.* относятся к незначительным, не меняющих ничего кардинального в системе, показательно, что Apple продолжает поддерживать устройства, выпущенные в 2009 году (как iPhone 3GS).

Внешне обновления выглядели как ещё одно исправление багов малопонятных протоколов безопасности, однако их подробное описание оказалось более волнующим. По словам компании, ошибка заключалась в Secure Transport (надстройка над протоколами Secure Sockets Layer и Transport Layer Security), которая используется в устройствах Apple для предотвращения прослушивания и несанкционированного доступа к данным. 

Злоумышленники, имевшие доступ к управлению сетью, к которой подключён пользователь, могли собирать передаваемые данные через протокол безопасного соединения SSL/TLS и даже модифицировать компьютер пользователя при помощи эксплойтов.

Со-основатель «безопасного месседжера» Confide Джеффри Гроссман протестировал устройства со старыми прошивками и выяснил, что впервые эта уязвимость появилась в iOS 6.0, выпущенной 24 сентября 2012 года. Автор блога Daring Fireball Джон Грубер вспомнил, что в слайдах программы PRISM Агентства национальной безопасности сообщается, что Apple была «включена» в программу в октябре 2012 года.

Хотя это совпадение скорее напоминает теорию заговора, АНБ действительно могло использовать уязвимость для своих целей, даже не сотрудничая с Apple напрямую. По словам Грубера, АНБ тестирует все выпускаемые компанией прошивки, и они могли «включить» Apple в PRISM после того, как самостоятельно обнаружили баг в безопасном соединении.

Судя по опубликованному коду Apple, вся уязвимость была вызвана банальной опиской программиста, скорее всего, возникшей из-за случайного удаления одной из строк кода.

"goto fail;" may be the world's first self-describing bug.

— matt blaze (@mattblaze) February 23, 2014

Специалист по шифрованию данных в Google Адам Лэнгли детально разобрал ошибку в своём блоге ImperialViolet. По его словам, из-за двойного повторения строчки [goto fail;] процедура проверки сертификата безопасности всегда проходила успешно.

В случае использования небезопасного соединения (открытые точки Wi-Fi в публичных местах) этот баг мог использоваться для подмены сайтов. Злоумышленники, модифицировавшие публичную сеть, могли выдать небезопасное соединение с популярным сайтом (например, Gmail) за безопасное. Пользователи даже не смогли бы заподозрить неладное, поскольку программы, использующие Secure Transport (некоторые почтовые клиенты или браузер Safari, но не Firefox или Google Chrome), не выдают ошибку при проверке сертификата безопасности.

Apple закрыла уязвимость для своих мобильных устройств, однако настольная операционная система Mac OS X всё ещё подвержена атаке «человека посередине», то есть перехвату данных между пользователем и удалённым сервером. В субботу 22 февраля представители компании сообщили, что в курсе ситуации и собираются выпустить обновление для OS X в ближайшие несколько дней.

Пока обновление не вышло, владельцам мобильных устройств Apple в целях безопасности необходимо как можно быстрее обновить прошивку, а пользователям OS X — временно избегать подозрительных открытых сетей Wi-Fi и браузера Safari, в котором уязвимость до сих пор не устранена.

Dear everyone: do *not* use Safari until Apple patches their SSL code in Mac OS X. Man-in-the-middle exploits are already in the wild.

— Nick Sullivan (@grittygrease) February 22, 2014

Храни вас https,
Никита Лихачёв,
TJournal

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с tjournal.ru

60
    +42 surfers

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • tjournal
          • ipod
          • браузер
          • apple tv
          • безопасность
          • mac
          • ipad
          • google chrome
          • safari
          • домен tjournal.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции