Most a fixen: Zooo+ ··· 17:00 Globo Világjáró ··· 17:30 Novum

Apple vs. SSL

Apple vs. SSL

A napokban kiadott legújabb 7.0.6-os iOS frissítés első ránézésre semmitmondó lehet a legtöbb felhasználó számára, viszont szemfüles programzók kiszúrtak egy igen lényeges hibát, amit most az Apple próbál mihamarabb korrigálni. Az alábbi kódrészletből látható, hogy a kiemelt sorduplikéció azt eredményezi, hogy a kód hibaágra fusson még mielőtt az SSL tanúsítvány ellenőrzésre kerülne, ami jelen esetben azért is problémás, mert a hibaág legvégén sikert eredményez és így bármilyen tanúsítványt elfogadásra kerülhet. Ez azért is különösen lényeges, mivel ez a sebezhetőség lehetővé teszi a közbeékelődéses támadásokat. Az Apple által kiadott iOS javítás erősen javasolt, hacsak nem szeretnénk azt, hogy legközelebbi Starbucks látógatásunk alatt egy vadidegen megszerezze legféltetebb adatainkat.    

 

static OSStatus

SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
uint8_t *signature, UInt16 signatureLen)
{
// ...
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;

err = sslRawVerify(ctx,
ctx->peerPubKey,
dataToSign, /* plaintext */
dataToSignLen, /* plaintext length */
signature,
signatureLen);
// ...

fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;

}

 

A rossz hír, hogy ugyanez a hiba megtalálható az Apple OS X 10.9.1-es operációs rendszerében és egyelőre nem érkezett még hír egy esetleges javításról.    

Az összesesküvés-elmélet híveinek egy újabb löketet adhat, hogy az első "goto fail;" parancs az iOS 6.0-ba került bele először, ami egy hónappal azelőtt került szállításra, hogy az Apple állítólagosan részese lett az NSA PRISM programjának. Ez több kérdést is felvett azoknál, akik erőteljesen hisznek az utóbbi időben tomboló lehallgatási botrányban.  

 

Mi az a SSL?

Az SSL jelentése a Secure Sockets Layer, ami egy általános biztonsági technológia egy titkosított link létrehozására egy webszerver és egy böngésző között. Ez biztosítja, hogy az összes adat biztonságos és bizalmas kommunikációs csatornán halad át. Az SSL egy ipari szabvány, amit sok weboldal használ identitások igazolására és online tranzakciók védelmére. A TLS vagyis Transport Layer Security egy modernebb protocol, ami ugyanazt a feladatot látja el, mint az SSL. 

 

Mi az a közbeéeklődéses támadás?

Ez a fajta támadás egyfajta high-tech lehallgatási módszer. A támadó a felhasználó és a böngésző közötti kommunikációt feltartóztatja és a támadó számára láthatóvá válik az összes olyan információ, ami végighalad ezen a kommunikációs csatornán. A támadó valós időben képes végigolvasni, rögzíteni az általunk küldött adatokat pl. Gmail, Facebook, pénzügyi tranzakciók.  

 

- FIX

Legfrissebbek

Továbbiak innen: Restart

FIX TV 2014
Kapcsolat Médiaajánlat készítette: fswd.hu