Skocz do zawartości

Bardzo poważny błąd - dotyczy ona obsługi połączeń szyfrowanych (SSL)


Rekomendowane odpowiedzi

Połączenia SSL to praktycznie fundament bezpieczeństwa użytkowników sieci. Weryfikacja certyfikatów, którymi przedstawiają się na przykład serwery www, umożliwia zapewnienie, że urządzenie rozmawia z serwerem, z którym kazaliśmy mu się połączyć i przy prawidłowej konfiguracji nikt nie powinien móc podsłuchać przesyłanych treści. Dzięki temu możemy bezpiecznie korzystać nie tylko z poczty czy Facebooka, ale przede wszystkich chociażby z usług bankowości elektronicznej. Apple twierdzi, że te zabezpieczenia były do tej pory możliwe do pokonania w jego urządzeniach.

 

Rozwiązania dla komputerów z OSX jeszcze nie ma. Apple w zasadzie oficjalnie nie potwierdziło, że błąd dotyczy Mac OS X, ale potwierdzili to niezależni badacze, którzy zreversowali patche wypuszczone przez Apple. Trzeba więc czekać na patch i w miarę możliwości nie korzystać z Safari, a Gogole Chrome (które nie jest podatne na ten atak, z racji posiadania własnych bibliotek do obsługi SSL)

 

Więcej:

http://niebezpiecznik.pl/post/krytyczny-blad-w-iphonach-ipadach-i-mac-os-x-jak-najszybciej-wgrajcie-aktualizacje/

http://zaufanatrzeciastrona.pl/post/bardzo-powazny-blad-w-urzadzeniach-apple-aktualizujcie-natychmiast/

Odnośnik do komentarza
Udostępnij na innych stronach

Szczegóły błędu:

https://www.imperialviolet.org/2014/02/22/applebug.html

Błąd tego typu można łatwo wykryć z ustawieniem kompilatora -Wunreachable-Code i w testach coverage. 

 

http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Pomijając już ten błąd, to jakość tego kodu (ważnego z punktu widzenia bezpieczeństwa) jest stosunkowo marna.

Prawie 0 komentarzy, raz odstępy robione spacjami, raz tabulacjami itd.

 

Mogę potwierdzić, że działa na Safari w OS X 10.9.1.

Możliwość sprawdzenia: gotofail.com

 

Swoją drogą, to już kolejny poważny błąd w OS X.

Wcześniej były głośne: Zapisywanie haseł w plaintexcie w FileVault w Lionie, oraz bug z renderowaniem fontów w Mountain Lion, który powodował zamykanie programów.

Odnośnik do komentarza
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

Ładowanie
 Udostępnij

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystanie z tej witryny, wymaga zakceptowanie naszych warunków Warunki użytkowania.