Вчера Apple закрыла критическую уязвимость, OS X в опасности

Вчера Apple выпустила новые версии iOS 7.0.6 и iOS 6.1.6, которые исправляют уязвимость, связанную с валидацией SSL-подключения. Как оказалось, эта уязвимость куда более важная, нежели указала в обновлении Apple. С ее помощью злоумышленник может получить доступ к данным пользователя даже при использовании защищенного SSL-соединения на сайте.

«Из-за ошибки логики авторизации на платформах iOS и OS X злоумышленник может обойти протоколы проверки SSL/TLS, что позволит ему замаскироваться под проверенный источник. Например, злоумышленник может замаскироваться под популяряного провайдера веб-почты и перехватить пароли и любую другую информацию.

Более того, такая уязвимость открывает потенциальную угрозу для взлома системы», — сообщает глава по теологиям безопасности компании CrowdStrike Дмитрий Альперович.

Эту информацию также подтверждает Адам Лэнгли, старший инженер-программист в Google, который смог создать тестовый сайт для проверки наличия этой уязвимости.

«Найденная уязвимость взаимодействует только с SecureTransport, который используется в iOS вплоть до 7.0.4 и в OS X 10.9.1 в Safari. Впрочем, браузеры Chrome и Firefox используют NSS для SSД/TLS и не подвержены этой уязвимости», — заявил сотрудник Google.

Разработчикам также удалось выяснить, что данные проблемы наблюдаются и в бета-версиях OS X 10.9.2. В самом ближайшем будущем Apple собирается выпустить отдельное обновление, для закрытия этой уязвимости.

Вместе с этим специалисты отмечают, что власти многих стран могли без каких-либо затруднений использовать существующую уязвимость для получения доступа к конфиденциальным данным пользователей iPhone.

Учитывая такие подробности, установить обновление iOS 7.0.6 или iOS 6.1.6 рекомендуется абсолютно всем владельцам iдевайсов. А проверить свои Mac на наличие существующей уязвимости можно по ссылке. Если сайт по ссылке не загрузился и вы не видите никакого сообщения, то ваш браузер не содержит уязвимость.

Мы же подтверждает, что в OS X 10.9.2 Apple не закрыла уязвимость в Safari, в то время как браузер Google Chrome не содержит ее.

Источник: CrowdStrike