Video: WWDC 2020 Special Event Keynote — Apple (Tháng Chín 2024)
Apple lặng lẽ phát hành iOS 7.06 vào chiều thứ Sáu, khắc phục sự cố về cách iOS 7 xác thực chứng chỉ SSL. Những kẻ tấn công có thể khai thác vấn đề này để khởi động một cuộc tấn công trung gian và nghe lén mọi hoạt động của người dùng, các chuyên gia cảnh báo.
"Kẻ tấn công có vị trí mạng đặc quyền có thể thu thập hoặc sửa đổi dữ liệu trong các phiên được bảo vệ bởi SSL / TLS", Apple cho biết trong lời khuyên của mình.
Người dùng nên cập nhật ngay lập tức.
Xem ra cho Eavesdroppers
Như thường lệ, Apple không cung cấp nhiều thông tin về vấn đề này, nhưng các chuyên gia bảo mật quen thuộc với lỗ hổng này cảnh báo rằng những kẻ tấn công trên cùng mạng với nạn nhân sẽ có thể đọc được thông tin liên lạc an toàn. Trong trường hợp này, kẻ tấn công có thể chặn và thậm chí sửa đổi các tin nhắn khi chúng chuyển từ thiết bị iOS 7 của người dùng sang các trang web được bảo mật, như Gmail hoặc Facebook, hoặc thậm chí cho các phiên ngân hàng trực tuyến. Vấn đề là "lỗi cơ bản trong việc triển khai SSL của Apple", Dmitri Alperovich, CTO của CrowdStrike cho biết.
Bản cập nhật phần mềm có sẵn cho phiên bản iOS hiện tại cho iPhone 4 trở lên, iPod Touch thế hệ thứ 5 và iPad 2 trở lên. iOS 7.06 và iOS 6.1.6. Lỗ hổng tương tự tồn tại trong phiên bản mới nhất của Mac OS X nhưng chưa được vá, Adam Langley, một kỹ sư cao cấp của Google, đã viết trên blog ImperialViolet của mình. Langley xác nhận lỗ hổng cũng nằm trong iOS 7.0.4 và OS X 10.9.1
Xác thực chứng chỉ là rất quan trọng trong việc thiết lập các phiên bảo mật, vì đây là cách một trang web (hoặc thiết bị) xác minh rằng thông tin đến từ một nguồn đáng tin cậy. Bằng cách xác nhận chứng chỉ, trang web của ngân hàng biết rằng yêu cầu đến từ người dùng và không phải là yêu cầu giả mạo của kẻ tấn công. Trình duyệt của người dùng cũng dựa vào chứng chỉ để xác minh phản hồi đến từ máy chủ của ngân hàng chứ không phải từ kẻ tấn công ngồi giữa và chặn các liên lạc nhạy cảm.
Cập nhật thiết bị
Nó xuất hiện Chrome và Firefox, sử dụng NSS thay vì SecureTransport, không bị ảnh hưởng bởi lỗ hổng ngay cả khi HĐH cơ bản dễ bị tấn công, Langley nói. Ông đã tạo ra một trang web thử nghiệm tại https://www.imperialviolet.org:1266. "Nếu bạn có thể tải một trang web HTTPS trên cổng 1266 thì bạn gặp lỗi này", Langley nói
Người dùng nên cập nhật các thiết bị Apple của mình càng sớm càng tốt và khi có bản cập nhật OS X, để áp dụng bản vá đó. Các bản cập nhật nên được áp dụng trong khi trên một mạng đáng tin cậy và người dùng thực sự nên tránh truy cập các trang web an toàn trong khi trên các mạng không tin cậy (đặc biệt là Wi-Fi) khi đi du lịch /
"Trên các thiết bị di động và máy tính xách tay chưa được ghép nối, đặt cài đặt 'Yêu cầu tham gia mạng' thành TẮT, điều này sẽ ngăn chúng hiển thị lời nhắc kết nối với các mạng không tin cậy", Alex Radocea, nhà nghiên cứu từ CrowdStrike viết.
Xem xét những lo ngại gần đây về khả năng chính phủ rình mò, việc iPhone và iPad không xác nhận chứng chỉ chính xác có thể là điều đáng báo động đối với một số người. "Tôi sẽ không nói chi tiết về lỗi của Apple ngoại trừ nói những điều sau đây. Nó có thể khai thác nghiêm trọng và chưa được kiểm soát", Matthew Green, giáo sư mật mã tại Đại học Johns Hopkins, đăng trên Twitter.
