บ้าน Securitywatch Apple แก้ไขบั๊กพื้นฐาน ssl ใน iOS 7

Apple แก้ไขบั๊กพื้นฐาน ssl ใน iOS 7

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)
Anonim

Apple ปล่อย iOS 7.06 อย่างเงียบ ๆ ช่วงบ่ายวันศุกร์แก้ไขปัญหาที่ iOS 7 ตรวจสอบความถูกต้องของใบรับรอง SSL ผู้โจมตีสามารถใช้ประโยชน์จากปัญหานี้เพื่อเริ่มการโจมตีจากคนกลางและดักฟังในกิจกรรมผู้ใช้ทั้งหมดผู้เชี่ยวชาญเตือน

"ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจจับภาพหรือแก้ไขข้อมูลในเซสชันที่ได้รับการปกป้องโดย SSL / TLS" Apple กล่าวในคำแนะนำ

ผู้ใช้ควรอัพเดททันที

ระวัง Eavesdroppers

ตามปกติ Apple ไม่ได้ให้ข้อมูลจำนวนมากเกี่ยวกับปัญหา แต่ผู้เชี่ยวชาญด้านความปลอดภัยที่คุ้นเคยกับช่องโหว่เตือนว่าผู้โจมตีในเครือข่ายเดียวกันกับเหยื่อจะสามารถอ่านการสื่อสารที่ปลอดภัย ในกรณีนี้ผู้โจมตีสามารถสกัดกั้นและแก้ไขข้อความที่ส่งผ่านจากอุปกรณ์ iOS 7 ของผู้ใช้ไปยังไซต์ที่ปลอดภัยเช่น Gmail หรือ Facebook หรือแม้กระทั่งช่วงการธนาคารออนไลน์ ปัญหานี้เป็น "ข้อผิดพลาดพื้นฐานในการใช้งาน SSL ของ Apple" Dmitri Alperovich, CTO ของ CrowdStrike กล่าว

การอัปเดตซอฟต์แวร์พร้อมใช้งานสำหรับ iOS เวอร์ชันปัจจุบันสำหรับ iPhone 4 และใหม่กว่า, iPod Touch รุ่นที่ 5 และ iPad 2 และใหม่กว่า iOS 7.06 และ iOS 6.1.6 ข้อบกพร่องเดียวกันมีอยู่ใน Mac OS X เวอร์ชั่นล่าสุด แต่ยังไม่ได้รับการติดตั้ง Adam Langley วิศวกรอาวุโสของ Google เขียนไว้ในบล็อก ImperialViolet ของเขา Langley ยืนยันว่ามีข้อบกพร่องใน iOS 7.0.4 และ OS X 10.9.1

การตรวจสอบใบรับรองมีความสำคัญอย่างยิ่งในการสร้างเซสชันที่ปลอดภัยเนื่องจากนี่คือวิธีที่ไซต์ (หรืออุปกรณ์) ตรวจสอบว่าข้อมูลนั้นมาจากแหล่งที่เชื่อถือได้ โดยการตรวจสอบใบรับรองเว็บไซต์ของธนาคารรู้ว่าคำขอนั้นมาจากผู้ใช้และไม่ใช่การโจมตีโดยผู้โจมตี เบราว์เซอร์ของผู้ใช้ยังขึ้นอยู่กับใบรับรองเพื่อตรวจสอบการตอบสนองที่มาจากเซิร์ฟเวอร์ของธนาคารและไม่ได้มาจากผู้โจมตีที่อยู่ตรงกลางและการสื่อสารที่สำคัญดัก

อัปเดตอุปกรณ์

มันปรากฏว่า Chrome และ Firefox ซึ่งใช้ NSS แทน SecureTransport จะไม่ได้รับผลกระทบจากช่องโหว่แม้ว่าระบบปฏิบัติการพื้นฐานจะมีช่องโหว่ก็ตาม Langley กล่าว เขาสร้างเว็บไซต์ทดสอบที่ https://www.imperialviolet.org:1266 "ถ้าคุณสามารถโหลดไซต์ HTTPS บนพอร์ต 1266 แสดงว่าคุณมีบั๊กนี้" Langley กล่าว

ผู้ใช้ควรอัปเดตอุปกรณ์ Apple ของพวกเขาโดยเร็วที่สุดและเมื่อมีการอัปเดต OS X พร้อมใช้งานเพื่อใช้โปรแกรมแก้ไขนั้น ควรใช้การอัปเดตในเครือข่ายที่เชื่อถือได้และผู้ใช้ควรหลีกเลี่ยงการเข้าถึงเว็บไซต์ที่ปลอดภัยในขณะที่อยู่ในเครือข่ายที่ไม่น่าเชื่อถือ (โดยเฉพาะ Wi-Fi) ในขณะเดินทาง /

"สำหรับอุปกรณ์พกพาและแล็ปท็อปที่ไม่มีการจับคู่ให้ตั้งค่า 'ขอให้เข้าร่วมเครือข่าย' เป็นปิดซึ่งจะป้องกันไม่ให้แสดงพรอมต์เพื่อเชื่อมต่อกับเครือข่ายที่ไม่น่าเชื่อถือ" Alex Radocea นักวิจัยจาก CrowdStrike

เมื่อพิจารณาถึงความกังวลล่าสุดเกี่ยวกับความเป็นไปได้ของการสอดแนมของรัฐบาลข้อเท็จจริงที่ว่า iPhone และ iPads ไม่ได้ตรวจสอบใบรับรองอย่างถูกต้องอาจเป็นเรื่องที่น่าตกใจสำหรับบางคน “ ฉันจะไม่พูดถึงรายละเอียดเกี่ยวกับข้อผิดพลาดของ Apple ยกเว้นจะกล่าวต่อไปนี้มันเป็นการเอาเปรียบอย่างจริงจังและยังไม่สามารถควบคุมได้” Matthew Green ศาสตราจารย์ด้านวิทยาการเข้ารหัสที่ Johns Hopkins University โพสต์บน Twitter

Apple แก้ไขบั๊กพื้นฐาน ssl ใน iOS 7