Szerző: Bodnár Ádám

2014. február 25. 09:51

Banális hiba az Apple SSL-implementációjában

A hétvégén banális biztonsági rést találtak az Apple-féle SSL-implementációban, amely biztonsági szakértők szerint legalább 2013 márciusa óta jelen volt az iOS és OS X rendszereken. Az iOS frissítését az Apple már kiadta, az OS X azonban továbbra is sebezhető.

A hétvégén gyxorsjavítást adott ki az Apple az iOS rendszeréhez, amelyet mindenkinek érdemes feltétlenül telepítenie. A patch egy tátongó biztonsági rést foltoz be az operációs rendszerben, amelyet a kérdéses kódrészlet miatt a szakmai egyszerűen "goto fail" hibaként emleget.

A publikált információk alapján az SSL-implementációval van a probléma, a libsecurity_ssl/lib/sslKeyExchange.c SSLVerifySignedServerKeyExchange függvényében egy megduplázott sor miatt a kód még a tanúsítvány tényleges ellenőrzése előtt hibaágra fut, viszont a függvény visszatérési értéke ilyenkor is 0 lesz, ami ebben az esetben azt jelenti, a tanúsítvány ellenőrzése sikeresen megtörtént. A hibás iOS és OS X operációs rendszerek ezért tetszőleges SSL tanúsítványt elfogadnak, amely a "man in the middle" jellegű támadások könnyű kivitelezését teszi lehetővé.

A Buherablog által citált Twitter-üzenet szerint az iOS-nek már a 6.1.3 verziója is sérülékeny volt, vagyis az Apple mobilos operációs rendszerét tavaly március óta lehetett ezen a biztonsági résen keresztül támadni. A vállalat a 6.1.6 verzióban javította ki a hibát, ezt a verziót kell telepítenie azoknak, akiknek az iPhone-ján, iPadjén vagy iPod touchán még az iOS 6 fut, az iOS 7-et használók pedig a 7.0.6 verziószámú frissítést keressék.

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

Az iOS-felhasználók a frissítés után már biztonságban vannak, a hiba azonban a Maceken futó OS X-ben is megtalálható, mégpedig a legújabb 10.9 és 10.9.1 verzióban is. Ez azt jelenti, hogy az Apple SSL-könyvtárát használó alkalmazások átjáróháznak tekinthetők, köztük a vállalat saját fejlesztésű szoftverei is (pl. Safari, Apple Mail, Messages, Calendar, FaceTime). A felhasználók a gotofail.com oldalon tudják ellenőrizni, támadható-e a rendszerük a sebezhetőség kihasználásával, ahol megtalálhatják a hiba részletes leírását, valamint linkeket a javításokra.

Az almás cégtől egyelőre nincs hivatalos patch OS X-hez, de készültek nem hivatalos patchek - ezek szintén megtalálhatók a fent említett oldalon, telepítésük viszont csak olyanoknak javasolt, akik valóban tudják, mit csinálnak. A frissítés nélküli gépekkel érdemes csak megbízható hálózatokhoz csatlakozni.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról