iOS 5, nadal wolno toczący się do użytkowników po wprowadzeniu w środę, nie tylko nowe funkcje, ale także przynosi wiele ważnych poprawek zabezpieczeń dla iPhone, iPad i iPodów touch. Aktualizacja usuwa zaufania za wszelkie certyfikaty bezpieczeństwa z hacked certyfikatu urzędu DigiNotar i krople wsparcie dla certyfikatów z MD5 i aktualizacje TLS do wersji 1.2 w celu poprawy bezpieczeństwa połączeń SSL.
Holenderski urząd certyfikacji DigiNotar był hacked w lipcu przez hakerów nazywająca siebie ComodoHacker , którzy wykorzystali DigiNotar serwerów generować setki sfałszowanych świadectw bezpieczeństwa. Chociaż firma nie wierzyli, że miał usunięte wszystkie z nich ze swoich serwerów, firma zakończyła się brakuje co najmniej jednego świadectwa. To szczególne świadectwo może haker umieścić swoje serwery pomiędzy użytkowników Gmail i Google serwerów Gmaila w celu przechwytywania e-mail z wielu obywateli Iranu.
Po wiadomości o rozprzestrzenianiu hack, Mozilla, Google, Microsoft i inne wydane poprawki, które na czarnej liście wszystkich DigiNotar certs. W efekcie, każdy serwer za pomocą certyfikatu z DigiNotar nie można ufać. Jabłko trwał prawie dwa tygodnie do wydania poprawki dla Mac OS X , a dopiero dziś 5 iOS aktualizacji iPhone, iPad, oraz iPodów touch otrzymała podobny patch.
Według Apple, problem DigiNotar "polega na usunięciu DigiNotar z listy zaufanych certyfikatów głównych, z listy Extended Validation (EV) organy świadectwa, a przez skonfigurowanie ustawienia domyślne systemu zaufania, która DigiNotar świadectw, w tym emitowane przez inne władze, nie są zaufane. "
iOS 5 oferuje także dwa dodatkowe ulepszenia do ochrony danych. Apple usunęło wsparcie dla certyfikatów X.509 podpisane za pomocą MD5 algorytm, który ma kilka znanych luk w zabezpieczeniach. Aktualizuje także protokołu TLS do wersji 1.2, która odnosi się do potencjalnych man-in-the-middle, jeżeli śpią inaczej zaufanych połączeń SSL.
Dodatkowo, iOS 5 zawiera szereg poprawek do przepełnienia bufora i innych potencjalnych exploitów w libxml, ImageIO, wsparcie Unicode, WebKit, i więcej. Szczegółowe informacje są publikowane na stronie internetowej firmy Apple .
Przeczytaj komentarze do tego wpisu
Brak komentarzy:
Prześlij komentarz