Osób korzystających z Safari na Mac OS X są nadal narażone na "man-in-the-middle" ataków przy użyciu fałszywych certyfikatów bezpieczeństwa, że hakerzy generowane z holenderskiego urzędu certyfikacji DigiNotar. Problem leży w sposobie, Mac OS X obsługuje nowy typ certyfikatu o nazwie Extended Validation, EV lub certyfikaty. Na szczęście jednak, jest stosunkowo łatwo naprawić.
DigiNotar został posiekany na początku tego tygodnia, aby generować setki fałszywych certyfikatów bezpieczeństwa dla wielu witryn, w tym Google, Yahoo i innych. Irański haker wydaje się, że używane certyfikaty na google.com do szpiegowania rozmów Iraninan użytkowników Gmaila.
Microsoft i Google odwołane zaufania certyfikaty wydane przez DigiNotar i Mozilla wydane poprawki dla Firefoksa i Thunderbirda nie jest już certyfikaty zaufania firmy. Zmiany te sprawiły, że Chrome, Internet Explorer i Firefox nie będą już przyjmować bezpiecznych połączeń HTTPS ze stron za pomocą DigiNotar wydane certyfikaty.
Apple ma jeszcze dostarczy łatę dla swojej przeglądarki Safari lub Mac OS X, dzięki czemu użytkownicy są powiedział do korzystania z Keychain oznaczyć certyfikaty wydane przez DigiNotar jak "Nigdy nie ufaj". Niestety, według autora Ryan Sleevi, Mac OS X będzie nadal przyjmować nowszych certyfikatów Extended Validation, stosowany w celu zapobiegania ataków phishingowych, nawet ze strony władz, które są oznaczone jako zaufane.
"Kiedy Apple uważa, że patrzysz na EV Cert, sprawdzają inaczej," Sleevi powiedział Computerworld. "Oni zmienić niektóre ustawienia i całkowicie je lekceważyć."
Eksperci ds. bezpieczeństwa, w tym WhiteHat Security CTO Jeremiah Grossman, za wadę "kłopotliwa". Od firmy Apple zwykle nie uwalnia żadnych informacji na temat braku bezpieczeństwa przeglądarki, aż zwolni odpowiednie poprawki, użytkownicy mogą być potencjalnie narażone na dalsze wyczyny w międzyczasie.
Nadal jest stosunkowo prosta naprawić problem do kwestii Apple łata Mac OS X, jednak. Korzystanie z Keychain Access, użytkownicy mogą po prostu usunąć DigiNotar certyfikatów z Keychain zamiast zaznaczać je "niezaufanych". Ponieważ władze wcześniej odwołał wszystkie fałszywe certyfikaty, nie będą już potwierdzić, kiedy Safari lub innych programów Mac OS X spotkać ich ponownie.
Przeczytaj komentarze do tego wpisu
Brak komentarzy:
Prześlij komentarz