Вчера Apple выпустила Обновление безопасности iOS 7.0.6 для iPhone 4 и новее, iPod touch 5-го поколения и iPad 2+.
В то же время аналогичный патч 6.1.6 вышел для iPhone 3GS и iPod touch 4-го поколения.
Обновление устраняет уязвимость CVE-2014-1266, которая позволяет злоумышленнику с «привилегированного положения в сети» перехватывать и изменять пакеты в сеансах.
защищен SSL/TLS .
Речь идет об атаке MiTM с подменой трафика.
В кратком объяснении Apple сообщает, что при установке безопасного соединения через SSL/TLS система не может определить подлинность соединения.
Проблема была решена путем «добавления недостающих шагов проверки».
Хотя из лаконичного описания не совсем понятно, каких именно «этапов» не хватает, можно говорить об отсутствии полной защиты соединений.
Так или иначе, отсутствие необходимых шагов аутентификации означает, что ранее на все устройства Apple третьи лица, скорее всего, могли устанавливать на смартфоны и планшеты пользователей поддельные/модифицированные обновления ОС.
Сегодня известный криптограф Адам Лэнгли опубликовал статья с анализом ошибок в iOS. Он обращает внимание на разница в коде OS X 10.8.5 (Security-55179.13) и 10.9 (Security-55471), которые, вероятно, исправили ту же ошибку.
Собственно, вот оно.
static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
uint8_t *signature, UInt16 signatureLen)
{
Теги: #SSL #tls #bug #bug #encryption #iOS #os x #ServerKeyExchange #проверка подписи #подпись #сертификат #dhe #ecdhe #информационная безопасность #Аномальное программирование #Криптография
-
Ваш Пятиэтапный Цикл Интернет-Продаж
19 Dec, 24 -
Как Проверить Пароль На Безопасность?
19 Dec, 24 -
Общее Меню
19 Dec, 24 -
Монтаж
19 Dec, 24
