Szerző: Bizó Dániel

2010. január 20. 16:54

Biztonsági csomag Leopardokhoz

Idei első frissítési csomagjában egytucat sebezhetőséget foltoz be az Apple a Mac OS X operációs rendszerekben.

HIRDETÉS

A 12 sebezhetőségből 7 az Adobe Flash Playert érinti. Mivel az Apple operációs rendszerével együtt terjeszti az Adobe szoftverét, ezért a frissítéseket is biztosítja hozzá. A hét sebezhetőségből hat kritikusnak minősül, vagyis távoli kód végrehajtását teheti lehetővé. Frissült többek közt a CoreAudio és az Image RAW is, amelyek megfelelően felkészített fájlok megnyitásakor az alkalmazás kifagyásának vagy támadó kód végrehajtásának vannak kitéve.

A Flash Player melletti a legfontosabb, hogy az Apple az OpenSSL csomag frissítésével az elsők közt foltozza az SSL/TLS tavaly augusztusban felfedezett, és novemberben nyilvánosságra került sebezhetőségét. A PhoneFactor biztonsági cég által feltárt sérülékenység a protokollból fakad, így minden implementáció javításra szorul. A problémát az okozza, hogy a támadónak lehetősége van úgy beékelődni (man-in-the-middle, MATM) két számítógép közé, hogy mindkettő azt higgye, hogy legitim féllel építette fel a biztonságos kapcsolatot.

A trükk abban rejlik, hogy a protokoll megengedi, hogy bármelyik fél a kapcsolat újratárgyalását kezdeményezze, sőt ezt a szerverek tipikusan egyből meg is teszik, hogy azonosítsák a klienst az immár titkosított csatornán. A szerver azonban tudta nélkül először a beékelődött támadóval építi fel a kapcsolatot, majd ezen keresztül történik az újratárgyalási procedúra, amelynek során ismét gazdát cserélnek a tanúsítványok és titkosító kulcsok.

Ez láthatóan szabályosan meg is történik, azonban az immár a titkosított csatornába épült, transzparens reléként működő támadóval, amely titkosított csatornát épített ki ezzel a kliens felé is. A sebezhetőséget a PhoneFactor dokumentációja taglalja, a MITM támadásról készített ábrát is.

Más IT-vállalatok, köztük a Microsoft és a Cisco még csak tesztelik az SSL-implementációt javító kódokat, amelyek a SSL/TLS handshake procedúrájának megváltoztatásával kiiktatják azt a rést, amelyet kihasználva a támadó át tudja verni a klienst és a szervert egyaránt. A Mac OS X Leopard és Snow Leopard operációs rendszerekhez a frissítések letölthetőek az Apple támogatási oldaláról - a Tigert már nem támogatja a cég.

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.

a címlapról

Hirdetés

FinOps: a fájdalommentes diéta titka a felhőben

2021. december 7. 21:35

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.