На прошлой неделе Apple выпустила обновление iOS до версии 7.0.6 и 6.1.6 с единственным исправлением, призванным устранить уязвимость в системе безопасности, возникающую при проверке SSL-подключения. На этом в истории можно было бы поставить точку, если бы не информация компании CrowdStrike, занимающаяся вопросами безопасности, которая выяснила, что аналогичная уязвимость имеется и в OS X, где до сих пор не была устранена.
В сопроводительном документе к обновлению отмечается, что уязвимость SSL-подключения позволяет злоумышленнику при определенных условиях перехватывать или изменять данные, передаваемые по протоколам SSL/TLS. Однако специалисты CrowdStrike выяснили, что аналогичная проблема присутствует и в OS X, а также браузере Safari. Пользователи компьютеров Apple могут стать жертвами хакеров, которые используют уязвимость в процессе аутентификации как в проводной, так и в беспроводной сети.
Как сообщает инженер Google Адам Лэнгли, уязвимость могла появиться в операционной системе от Apple, начиная с OS X 10.9. При этом остается неизвестным, устранена ли проблема в грядущем обновлении до версии 10.9.2. В Apple знают о ситуации и уже подтвердили, что готовят апдейт, который устранит уязвимость.
Тем временем специалисты крайне скептически относятся к намерениям Apple побороть уязвимость SSL-подключения. Дело в том, что по некоторым данным проблемам с безопасностью подвержен не только браузер Safari в OS X, но и многие другие встроенные в операционную систему приложения, использующие подключение к сети. Все пользователи маков могут проверить, подвержена ли их система уязвимости, перейдя по адресу gotofail.com, используя Safari. [MacRumors]
11 комментариев