Mellékleteink: HUP | Gamekapocs
Keres

Banális hiba az Apple SSL-implementációjában

Bodnár Ádám, 2014. február 25. 09:51
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A hétvégén banális biztonsági rést találtak az Apple-féle SSL-implementációban, amely biztonsági szakértők szerint legalább 2013 márciusa óta jelen volt az iOS és OS X rendszereken. Az iOS frissítését az Apple már kiadta, az OS X azonban továbbra is sebezhető.

A hétvégén gyxorsjavítást adott ki az Apple az iOS rendszeréhez, amelyet mindenkinek érdemes feltétlenül telepítenie. A patch egy tátongó biztonsági rést foltoz be az operációs rendszerben, amelyet a kérdéses kódrészlet miatt a szakmai egyszerűen "goto fail" hibaként emleget.

A publikált információk alapján az SSL-implementációval van a probléma, a libsecurity_ssl/lib/sslKeyExchange.c SSLVerifySignedServerKeyExchange függvényében egy megduplázott sor miatt a kód még a tanúsítvány tényleges ellenőrzése előtt hibaágra fut, viszont a függvény visszatérési értéke ilyenkor is 0 lesz, ami ebben az esetben azt jelenti, a tanúsítvány ellenőrzése sikeresen megtörtént. A hibás iOS és OS X operációs rendszerek ezért tetszőleges SSL tanúsítványt elfogadnak, amely a "man in the middle" jellegű támadások könnyű kivitelezését teszi lehetővé.

A Buherablog által citált Twitter-üzenet szerint az iOS-nek már a 6.1.3 verziója is sérülékeny volt, vagyis az Apple mobilos operációs rendszerét tavaly március óta lehetett ezen a biztonsági résen keresztül támadni. A vállalat a 6.1.6 verzióban javította ki a hibát, ezt a verziót kell telepítenie azoknak, akiknek az iPhone-ján, iPadjén vagy iPod touchán még az iOS 6 fut, az iOS 7-et használók pedig a 7.0.6 verziószámú frissítést keressék.

Az iOS-felhasználók a frissítés után már biztonságban vannak, a hiba azonban a Maceken futó OS X-ben is megtalálható, mégpedig a legújabb 10.9 és 10.9.1 verzióban is. Ez azt jelenti, hogy az Apple SSL-könyvtárát használó alkalmazások átjáróháznak tekinthetők, köztük a vállalat saját fejlesztésű szoftverei is (pl. Safari, Apple Mail, Messages, Calendar, FaceTime). A felhasználók a gotofail.com oldalon tudják ellenőrizni, támadható-e a rendszerük a sebezhetőség kihasználásával, ahol megtalálhatják a hiba részletes leírását, valamint linkeket a javításokra.

Az almás cégtől egyelőre nincs hivatalos patch OS X-hez, de készültek nem hivatalos patchek - ezek szintén megtalálhatók a fent említett oldalon, telepítésük viszont csak olyanoknak javasolt, akik valóban tudják, mit csinálnak. A frissítés nélküli gépekkel érdemes csak megbízható hálózatokhoz csatlakozni.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.