Video: APPLE ПОДАРИЛИ НОВЫЙ АЙФОН ❤️ (у меня Коронавирус🦠 ?) (September 2024)
Apple släppte tyst iOS 7.06 sent på fredagseftermiddagen och fixade ett problem i hur iOS 7 validerar SSL-certifikat. Attacker kan utnyttja denna fråga för att inleda en man-i-mitt-attack och avlyssna all användaraktivitet, varnade experter.
"En angripare med en privilegierad nätverksposition kan fånga eller ändra data i sessioner skyddade av SSL / TLS, " sade Apple i sin rådgivande.
Användare bör uppdatera omedelbart.
Se upp för Eavesdroppers
Som vanligt gav Apple inte mycket information om frågan, men säkerhetsexperter som känner till sårbarheten varnade för att angripare i samma nätverk som offret skulle kunna läsa säker kommunikation. I det här fallet kan angriparen fånga upp och till och med ändra meddelanden när de passerar från användarens iOS 7-enhet till säkrade webbplatser, till exempel Gmail eller Facebook, eller till och med för onlinebankssessioner. Frågan är ett "grundläggande fel i Apples SSL-implementering", säger Dmitri Alperovich, CTO för CrowdStrike.
Programvaruuppdateringen är tillgänglig för den aktuella versionen av iOS för iPhone 4 och senare, femte generationens iPod Touch och iPad 2 och senare. iOS 7.06 och iOS 6.1.6. Samma brist finns i den senaste versionen av Mac OS X men har ännu inte lagats, skrev Adam Langley, senioringenjör på Google, på sin ImperialViolet-blogg. Langley bekräftade att bristen också var i iOS 7.0.4 och OS X 10.9.1
Certifikatvalidering är avgörande för att säkra säkra sessioner, eftersom det här är hur en webbplats (eller en enhet) verifierar att informationen kommer från en betrodd källa. Genom att validera certifikatet vet bankwebbplatsen att begäran kommer från användaren och inte är en förfalskad begäran av en angripare. Användarens webbläsare förlitar sig också på certifikatet för att verifiera att svaret kom från bankens servrar och inte från en angripare som satt i mitten och avlyssnar känslig kommunikation.
Uppdatera enheter
Det verkar som om Chrome och Firefox, som använder NSS istället för SecureTransport, inte påverkas av sårbarheten även om det underliggande operativsystemet är sårbart, sade Langley. Han skapade en testplats på https://www.imperialviolet.org:1266. "Om du kan ladda en HTTPS-webbplats på port 1266 så har du det här felet, " sa Langley
Användare bör uppdatera sina Apple-enheter så snart som möjligt, och när OS X-uppdateringen är tillgänglig, för att använda den korrigeringen också. Uppdateringarna bör tillämpas på ett betrodd nätverk, och användare bör verkligen undvika att komma åt säkra webbplatser när de är på betrodda nätverk (särskilt Wi-Fi) när de reser /
"På oöverträffade mobila och bärbara enheter ställer du inställningen 'Fråga att gå med i nätverk' till AV, vilket kommer att förhindra dem från att visa instruktioner att ansluta till otillförlitliga nätverk, " skrev Alex Radocea, forskare från CrowdStrike.
Med tanke på den senaste tidens oro över möjligheten för regeringsnabb kan det faktum att iPhones och iPads inte validerade certifikat korrekt vara oroväckande för vissa. "Jag tänker inte tala om Apple-buggen förutom att säga följande. Det är allvarligt exploaterbart och ännu inte under kontroll, " Matthew Green, en kryptoprofessor vid Johns Hopkins University, postade på Twitter.
