Apple popravil varnostno površnost v iOS, Mac OS X še nezakrpan
Matej Huš
23. feb 2014 ob 19:58:02
Apple je včeraj izdal izredni popravek za iOS 7 in tudi starejšo verzijo iOS 6.1 (in sicer iOS 7.0.6. in iOS 6.1.6), ki odpravlja resno napako pri rokovanju s stranmi prek varnih povezav (SSL/TLS). Zaradi hrošča v kodi sta namreč Safari in odjemalec za elektronsko pošto izpustila nekaj pomembnih korakov, v katerih bi se moralo preveriti, ali je strežnikov javni ključ resnično pravilno podpisan. Tako so lahko napadalci izvedli MITM-napade, saj je brskalnik strani verjel na besedo, da gre res za domeno, za katero se predstavlja, sprejel pa je katerikoli certifikat. Ranljiva nista le Safari in Mail.app, ampak tudi druge aplikacije, ki uporabljajo vgrajeno infrastrukturo. Zanimivo pa je, da Chrome ni prizadet, Firefox pa verjetno tudi ne.
O resnosti napake priča tudi dejstvo, da je Apple popravil starejšo verzijo iOS 6.1, čeprav je zunaj že nova, kar se zgodi redko. Napaka je posledica ene same napačne vrstice kode, so ugotovili na ArsTehnici, ki se ne bi smela ponoviti. Tako se zgodi brezpogojni skok, ki ga tam ne bi smelo biti, s čimer se preskoči korak za preverjanje podpisa.
Kasneje pa se je pokazalo, da so prizadeti tudi računalniki z najnovejšo verzijo (10.9.1) operacijskega sistema Mac OS X, ne le mobilne naprave z iOS. Apple popravka zanje še ni izdal, zato v vmesnem času svetujejo previdnost. Adam Langley je na svojem bogu podrobno opisal ranljivost. Ali je vaš računalnik ranljiv, lahko preverite na njegovi strani.