» »

Apple popravil varnostno površnost v iOS, Mac OS X še nezakrpan

Apple popravil varnostno površnost v iOS, Mac OS X še nezakrpan

Ars Technica - Apple je včeraj izdal izredni popravek za iOS 7 in tudi starejšo verzijo iOS 6.1 (in sicer iOS 7.0.6. in iOS 6.1.6), ki odpravlja resno napako pri rokovanju s stranmi prek varnih povezav (SSL/TLS). Zaradi hrošča v kodi sta namreč Safari in odjemalec za elektronsko pošto izpustila nekaj pomembnih korakov, v katerih bi se moralo preveriti, ali je strežnikov javni ključ resnično pravilno podpisan. Tako so lahko napadalci izvedli MITM-napade, saj je brskalnik strani verjel na besedo, da gre res za domeno, za katero se predstavlja, sprejel pa je katerikoli certifikat. Ranljiva nista le Safari in Mail.app, ampak tudi druge aplikacije, ki uporabljajo vgrajeno infrastrukturo. Zanimivo pa je, da Chrome ni prizadet, Firefox pa verjetno tudi ne.

O resnosti napake priča tudi dejstvo, da je Apple popravil starejšo verzijo iOS 6.1, čeprav je zunaj že nova, kar se zgodi redko. Napaka je posledica ene same napačne vrstice kode, so ugotovili na ArsTehnici, ki se ne bi smela ponoviti. Tako se zgodi brezpogojni skok, ki ga tam ne bi smelo biti, s čimer se preskoči korak za preverjanje podpisa.

Kasneje pa se je pokazalo, da so prizadeti tudi računalniki z najnovejšo verzijo (10.9.1) operacijskega sistema Mac OS X, ne le mobilne naprave z iOS. Apple popravka zanje še ni izdal, zato v vmesnem času svetujejo previdnost. Adam Langley je na svojem bogu podrobno opisal ranljivost. Ali je vaš računalnik ranljiv, lahko preverite na njegovi strani.

50 komentarjev

«
1
2

Rias Gremory ::

Pač zaprta koda, kaj češ.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

CyberPunk ::

A pa ne me j**, a 6.1 tud? :o
Zaprta koda predvsem v kombinaciji s pressing deadlines, pa dajo ven polizdelke...

LJ4L ::

Rias Gremory je izjavil:

Pač zaprta koda, kaj češ.

Preberi si seznam virusov in napak pri windowsu. Se vidimo naslednje leto!
LP from LJ

ShowDown ::

Že dolgo nisem trollal - Na podobno posodobitev bi androidi čakali pol leta... Tisti, ki bi jo sploh dobili. ;)

fiction ::

Self describing bug: "goto fail;" ;)

Drugače me tole precej spominja na Underhanded C Contest. Pravijo sicer, da gre za površnost (napačen merge?). Ampak v luči zadnjih razkritij o NSA (kolikor vem, se na enem slidu hvalijo, kako lahko z Apple naprav enostavno interceptajo SSL/TLS traffic), obstaja tudi verjetnost, da je šlo za namerno dodan backdoor.

LightBit ::

Rias Gremory je izjavil:

Pač zaprta koda, kaj češ.

"Apple Public Source License Version 2.0"
http://opensource.apple.com/source/Secu...

smash ::

ShowDown je izjavil:

Že dolgo nisem trollal - Na podobno posodobitev bi androidi čakali pol leta... Tisti, ki bi jo sploh dobili. ;)


jp..stare naprave sigurno ne, pa če bi bila lukna še tako velika..vse kar je starej od dve leti, je pozabljeno

RejZoR ::

LJ4L je izjavil:

Rias Gremory je izjavil:

Pač zaprta koda, kaj češ.

Preberi si seznam virusov in napak pri windowsu. Se vidimo naslednje leto!


Ko bo imel Apple tolikšen tržni delež in toliko uporabnikov kot Windows se pa oglašaj.
Angry Sheep Blog @ www.rejzor.com

shubell ::

LJ4L je izjavil:

Rias Gremory je izjavil:

Pač zaprta koda, kaj češ.

Preberi si seznam virusov in napak pri windowsu. Se vidimo naslednje leto!


od kdaj se pa splača za tistih par % ljudi pisat viruse? Piše se za maso...

CoolBits ::

A tko kot za IOS recimo?

skika ::

RejZoR je izjavil:

LJ4L je izjavil:

Rias Gremory je izjavil:

Pač zaprta koda, kaj češ.

Preberi si seznam virusov in napak pri windowsu. Se vidimo naslednje leto!


Ko bo imel Apple tolikšen tržni delež in toliko uporabnikov kot Windows se pa oglašaj.



http://appleinsider.com/articles/14/02/...

zeleni ::

shubell je izjavil:

LJ4L je izjavil:

Rias Gremory je izjavil:

Pač zaprta koda, kaj češ.

Preberi si seznam virusov in napak pri windowsu. Se vidimo naslednje leto!


od kdaj se pa splača za tistih par % ljudi pisat viruse? Piše se za maso...


Trzni delez appla vendarle ni tako majhen. Nekaj procentov je kar veliko sistemov. Virusov in bugov pa tudi ni malo. Jih je veliko vec, kot bi nekateri radi priznali. Mnogi se vedno menijo, da jih ni in da so povsem varni.

Gregor P ::

S tem, da so bili windows uporabniki že tolikokrat žrtve, da več ne verjamejo sveto v varnost OS-a tako kot Apple uporabniki in so posledično zaradi tega bolj varni (namestiš windowse + avtomatično še cel kup varnostne opreme in še vedno si živčen, praktično odštevaš dneve "do naslednjič" - ter ne verjameš ničemur kar MS reče o varnosti):D
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

kpkp ::

CoolBits je izjavil:

A tko kot za IOS recimo?
IOS je veliko bolj zaprt sistem on OSX.


skika je izjavil:

http://appleinsider.com/articles/14/02/...
To je le za US!?

s1m0n ::

Mislim, da je kar se tiče mobilnih OSov tudi v US vodilni Android (vsaj na telefonih) za tablice pa nisem prepričan

kpkp ::

Ja, sedaj sem prebral malo več kot le naslov in vidim, da je tisto bolj taka "raziskava", da se napiše bombastičen naslov. V bistvu hočejo povedati, da je Apple prodal več naprav z njihovimi OS-i, kot Microsoft in partnerji naprav z Windowsi (Win, WP, win RT).

Naslov tega članka pa je zavajajoč/laž.

Zgodovina sprememb…

  • spremenil: kpkp ()

skika ::

kpkp je izjavil:

Ja, sedaj sem prebral malo več kot le naslov in vidim, da je tisto bolj taka "raziskava", da se napiše bombastičen naslov. V bistvu hočejo povedati, da je Apple prodal več naprav z njihovimi OS-i, kot Microsoft in partnerji naprav z Windowsi (Win, WP, win RT).

Naslov tega članka pa je zavajajoč/laž.


In kaj je pol zavajujoče oziroma laž? Napisano je tako kot je.

opeter ::

Ja, ampak to zgoraj (število prodanih jabolčnih računalnikov) velja samo za ZDA.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

kpkp ::

Apple, Inc. sold more computers than all of Microsoft's Windows PC partners in December quarter

Miralo bi biti:
"Apple, Inc. sold more computers than all of Microsoft's Windows PC partners sold windows devices in December quarter"
Ker Samsung sam je prodal več "computers" kot apple.

RejZoR ::

skika je izjavil:

RejZoR je izjavil:

LJ4L je izjavil:

Rias Gremory je izjavil:

Pač zaprta koda, kaj češ.

Preberi si seznam virusov in napak pri windowsu. Se vidimo naslednje leto!


Ko bo imel Apple tolikšen tržni delež in toliko uporabnikov kot Windows se pa oglašaj.



http://appleinsider.com/articles/14/02/...


In ta podatek mi pove točno nič. Ker Oken seveda ne moreš kupit posebej, da ne omenjam vseh piratskih userjev, ki se tud štejejo v user share. MacOS ima kolk, 3-4%, Windows pa 70%. Misliš da se piscem malwara da trudit za tiste 3%, ko pa imajo na drugi strani tolk večjo bazo folka? Močno dvomim... In to je point tega...
Angry Sheep Blog @ www.rejzor.com

zeleni ::

Mislim, da je procent se nekaj visjo od 4% in glede na to, da je taka porast virusov/malwarea,.. za iOS se jim ocitno ze splaca in ljubi.

MrStein ::

OSX je nekje 5-10 %, v USA tudi 20% (odvisno kje in kako gledaš).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

ShowDown ::

smash je izjavil:

ShowDown je izjavil:

Že dolgo nisem trollal - Na podobno posodobitev bi androidi čakali pol leta... Tisti, ki bi jo sploh dobili. ;)


jp..stare naprave sigurno ne, pa če bi bila lukna še tako velika..vse kar je starej od dve leti, je pozabljeno


Da bi bile pozabljene _samo_ naprave, ki so stare več kot 2 leti bi bilo super. :) Problem je, da so nekatere naprave pozabljene že ko jih izdajo.

zmaugy ::

Ampak če hočem ta popravek moram namestiti iOS 7.06. Trenutno imam 6.1 in nimam namena upočasniti svoje tablice.

BigWhale ::

Torej, o taksnih primerih ucijo osnovnosolce, ki pridejo na nek random tecaj programiranja. Curly braces EVERYWHERE! Oklepajev se ne izpusca ravno zaradi taksnih napak.

V _vsaki_ malo bolj tehnicno podkovani firmi obstajajo code review procedure, kjer je vsa napisana koda, vsaj enkrat pregledana. Tole napako je potemtakem spregledalo vec ljudi. Ali pa imajo pri Applu hecne delovne procese, ki so slabsi od najslabsega startup podjetja. :)

Potem je tukaj se avtomatsko testiranje. Taksno rec, bi avtomatski testi MORALI ujeti. Se pravi, so bili zanic napisani ali pa jih ni bilo.

Na koncu je pa se rocno testiranje. V dveh letih, ni NIHCE stestiral kaj se zgodi, ce z brskalnikom/telefonom/ipadom/... dostopas do spletne strani na kateri je pokvarjen SSL certifikat.

Merge error? Ce je tole rezultat merge errorja, naj vrzejo versioning control system v smeti ali pa naj za usesa tistega, ki je moral delati manual merge.

Tole je en tak resnicno kolosalni zajeb, ki si ga ne privosci niti nek nedeljski programer, da se pa zgodi v taksnem podjetju kot je Apple in uspe priti do milijonov uporabnikov je pa resnicno smesno.

LightBit ::

BigWhale je izjavil:

Curly braces EVERYWHERE!

Jaz, če je dovolj kratko, enovrstični if celega v eni vrstici napišem.
V tem primeru bi izgledalo takole:
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail;
goto fail;

kpkp ::

LightBit ::

kpkp je izjavil:

Pa so že našli novo.

V čem je to drugače od navadnega keyloggerja?

BigWhale ::

LightBit je izjavil:

BigWhale je izjavil:

Curly braces EVERYWHERE!

Jaz, če je dovolj kratko, enovrstični if celega v eni vrstici napišem.
V tem primeru bi izgledalo takole:

if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail;
goto fail;


V guzvi in pod pritiskom, bi nekdo tvojo kodo popravil v tole:
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail;
  goto fail;


Pa bi dobil isto.

Ce imas pa oklepaje, je pa stvar precej bolj opazna.

Zgodovina sprememb…

  • spremenil: BigWhale ()

LightBit ::

V bistvu je še slabše.

Najbolje se je izogbati goto.

celada ::

BigWhale je izjavil:

Torej, o taksnih primerih ucijo osnovnosolce, ki pridejo na nek random tecaj programiranja. Curly braces EVERYWHERE! Oklepajev se ne izpusca ravno zaradi taksnih napak.

V _vsaki_ malo bolj tehnicno podkovani firmi obstajajo code review procedure, kjer je vsa napisana koda, vsaj enkrat pregledana. Tole napako je potemtakem spregledalo vec ljudi. Ali pa imajo pri Applu hecne delovne procese, ki so slabsi od najslabsega startup podjetja. :)

Potem je tukaj se avtomatsko testiranje. Taksno rec, bi avtomatski testi MORALI ujeti. Se pravi, so bili zanic napisani ali pa jih ni bilo.

Na koncu je pa se rocno testiranje. V dveh letih, ni NIHCE stestiral kaj se zgodi, ce z brskalnikom/telefonom/ipadom/... dostopas do spletne strani na kateri je pokvarjen SSL certifikat.

Merge error? Ce je tole rezultat merge errorja, naj vrzejo versioning control system v smeti ali pa naj za usesa tistega, ki je moral delati manual merge.

Tole je en tak resnicno kolosalni zajeb, ki si ga ne privosci niti nek nedeljski programer, da se pa zgodi v taksnem podjetju kot je Apple in uspe priti do milijonov uporabnikov je pa resnicno smesno.


Sploh he smesno, ko vidis kaj se zgodi ko uporabis od jetbrains ide:


Mavrik ::

U, od kdaj pa IDEA podpira C?
The truth is rarely pure and never simple.

celada ::

Appcode je zunaj ene 2 leti torej tam nek? :)

Mavrik ::

AppCode je za ObjC, ne za C projekte. :/
The truth is rarely pure and never simple.

celada ::

Bah my bad slabo sem prebral. Avtomatsko sem mislil, da govoris o objC ker je Apple tema. C/C++ je v development in se mi ne sanja kdaj pride ven.

BigWhale ::

LightBit je izjavil:

V bistvu je še slabše.
Najbolje se je izogbati goto.


Tale primer je v bistvu zelo dober primer kjer je uporaba goto stavka precej smiselna in povsem upravicena. Bolje pet goto klicev kot pet return klicev. :)

LightBit ::

BigWhale je izjavil:

LightBit je izjavil:

V bistvu je še slabše.
Najbolje se je izogbati goto.


Tale primer je v bistvu zelo dober primer kjer je uporaba goto stavka precej smiselna in povsem upravicena. Bolje pet goto klicev kot pet return klicev. :)

To se strinjam.

Je pa še ena grda opcija brez petih return klicev:
if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) == 0)
  if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) == 0)
    if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) == 0)
      if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) == 0)
        if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) == 0)
        {
          err = sslRawVerify(ctx,
                ctx->peerPubKey,
                dataToSign,	/* plaintext */
                dataToSignLen,	/* plaintext length */
                signature,
                signatureLen);

           if (err)
             sslErrorLog("SSLDecodeSignedServerKeyExchange: sslRawVerify "
                         "returned %d\n", (int)err);
         }

SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;

Vsakem primeru je veliko stvari lahko narobe.

MrStein ::

Taki bug se drugim ne more zgoditi.


Ups!

PS: Kako se je lahko zgodil, če pa je open source?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Mavrik ::

Evo, 10.9.2 je zunaj s popravkom.
The truth is rarely pure and never simple.

zmaugy ::

Zadnji tedem ali dva imam na ipadu situacijo da moram vsak dan izbrisati zgodovino in piškotke, ker mi drugače ne naloži spletnih strani. Gibljem se na predvidoma varnih straneh (slo-tech, siol.net, wikipedia, mimovrste, cyberport).
Predvidevam da gre za vsebino tele teme in način da se prisili uporabnike ios 6 da prešaltajo na ios 7 in slej ko prej kupijo novo tablico/telefon.

no comment ::

zmaugy je izjavil:

Predvidevam da gre za vsebino tele teme in način da se prisili uporabnike ios 6 da prešaltajo na ios 7 in slej ko prej kupijo novo tablico/telefon.

Zakaj? Sej so iOS 6 tudi patchali, ne?!

zmaugy ::

Jaz vidim na svojem ipadu zgolj možnost updatea na ios 7.0.6. Se pravi da z updateom dobim novi ios in počasnejše delovanje (to se je zgodilo po prehodu iz 5 na 6).
Če obstaja kakšna druga možnost bi bil zelo vesel za informacijo.

no comment ::

A, razumem zdaj. Verjetno je update (6.1.6) s tem fixom za iOS 6 na voljo samo za tiste naprave, ki sploh ne morejo na iOS 7.

Mogoče je možnost, da poiščeš, če obstaja standalone iPad 6.1.6 firmware in ga restoraš proko iTunes. Ali pa JB za tvoj 6.1.3 + patch za SSL, če je res taka panika ostat na iOS 6.

no comment ::

BigWhale je izjavil:


Tole je en tak resnicno kolosalni zajeb, ki si ga ne privosci niti nek nedeljski programer, da se pa zgodi v taksnem podjetju kot je Apple in uspe priti do milijonov uporabnikov je pa resnicno smesno.


Še več nedeljskih programerjev...

jype ::

Eh, to nikogar ne zanima.

Cisco VPN, Halcom, ... Sami amaterji.

BigWhale ::

no comment je izjavil:

Še več nedeljskih programerjev...


Seveda!Sam k GNUTLS v resnici delajo nedeljski programerji. :>

no comment ::

BigWhale je izjavil:

Seveda!Sam k GNUTLS v resnici delajo nedeljski programerji. :>

No, ampak kaj takega si po besedah nekaterih ne privošči niti zadnji nedeljski programer.

Me zanima kak izgovor imajo pa torkovi programerji, tisti ki so to kodo 5 let porivali svojim strankam in uporabnikom. 5 let so zavestno ugašali rdeče alarmne zvonce, ki bi jim baje morali zvoniti? Ni bilo zvoncev?

2 primera javno dostopne kode kritične funkcionalnosti s takimi felerji, ki živijo neopaženjo leta in leta? MS must be laughing all the way to the, well, next tuesday.

jype ::

no comment> 2 primera javno dostopne kode kritične funkcionalnosti s takimi felerji, ki živijo neopaženjo leta in leta? MS must be laughing all the way to the, well, next tuesday.

Kako fino je, ko vsi pravijo, da bo FOSS primeren za enterprise, ko bo homogen (in bo vsaka takale napaka prizadela _vse_, ne le 30% sistemov).

no comment ::

Da te kak FOSS pridigar slučajno ne sliši, da je zaradi obskurnosti takle feler še vseeno sprejemljiv.

Ti bodo za kazen Win8.1 inštalirali na bicikl. Ne, Win8 z Metrojem, da te bo izučilo.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apple popravil varnostno površnost v iOS, Mac OS X še nezakrpan (strani: 1 2 )

Oddelek: Novice / Varnost
5025394 (19283) BigWhale
»

V končni verziji iOS 7 najdeni že dve luknji

Oddelek: Novice / Apple iPhone/iPad/iPod
2313438 (9721) driver_x
»

Prispel iOS 6.1.2 - geslo je še vedno mogoče obiti

Oddelek: Novice / Apple iPhone/iPad/iPod
115986 (4819) smash
»

Tudi iOS 6 zlomljen, a za zdaj ne javno

Oddelek: Novice / Apple iPhone/iPad/iPod
2013652 (11565) driver_x

Več podobnih tem