Súlyos biztonsági hibát javított az Apple

Az Apple pénteken egy különösen súlyos SSL-hibát javított, mely az összes iOS-t futtató készüléket érintette, és amely lehetővé tette egy támadó számára, hogy minden, az eszközön zajló kommunikációs folyamathoz hozzáférjen, esetleg meg is változtassa annak elemeit.

Hirdetés

A hiba leírás Buherator blogján:

… egy feltehetően véletlenül becsúszott(?) sorduplikáció azt eredményezi, hogy a kód hibaágra fut még az SSL tanúsítvány tényleges ellenőrzése előtt, ami nem lenne akkora baj, ha a függvény visszaadott hibakódja nem jelezne sikert (err=0, nincs hiba). Így a hibás implementáció gyakorlatilag bármilyen tanúsítványt elfogad. (Komolyan érdekelne, hogy egy ilyen problémára miért nincs legalább egy unit teszt az Apple-nél...)

Habár a rés minden verziót érint, a javítás egyelőre az iPhone 4-re és a későbbiekre, az iPod Touch ötödik generációjára, illetve az iPad második generációjára érhető el.

Egyes szakemberek szerint azonban a hiányosság érinti a Mac OS X-et is, ám ott még nem készült el a javítás, az csak a béta-verzióban szerepel – de hivatalos állásfoglalás még nem jelent meg az Apple részéről.

Hirdetés

Azóta történt

Előzmények