Jotka käyttävät Safarin Mac OS X on edelleen haavoittuva ja "man-in-the-middle" hyökkäykset käyttämällä petolliset varmenteita että hakkerit syntyy hollannista sertifikaatin myöntäjältä DigiNotar. Ongelmana on, miten Mac OS X käsittelee uudenlaista todistuksen nimeltään Extended Validation-tai EV todistukset. Onneksi kuitenkin on suhteellisen helppo korjata.
DigiNotar oli murtauduttu aiemmin tällä viikolla, jotta saadaan aikaan satoja väärennettyjä Varmenteet lukuisia verkkosivustoja, kuten Google, Yahoo, ym.. Iranin hakkeri näyttää käyttäneen todistukset google.com vakoilemaan Iraninan Gmailin käyttäjien keskustelut.
Microsoft ja Google peruuttaa luottamus myöntämät todistukset DigiNotar, ja Mozilla antoi korjaukset Firefox ja Thunderbird ei enää luota todistuksia yritys. Nämä muutokset tarkoitti että Chrome, Internet Explorer ja Firefox käyttäjät eivät enää hyväksy suojattujen HTTPS-yhteyksien päässä sivustot käyttämällä DigiNotar liikkeeseen vahvistamiseksi.
Apple ei ole vieläkään toimittanut korjaustiedoston sen Safari-selaimen tai Mac OS X, joten käyttäjät olivat kertoneet käyttää avainnipun merkitä mitään CERT antama DigiNotar kuin "Älä koskaan luota." Valitettavasti mukaan kehittäjä Ryan Sleevi, Mac OS X hyväksymme edelleen uudempia Extended Validation CERT-käytetään estämään phishing-hyökkäykset-jopa viranomaiset, jotka on merkitty luoteta.
"Kun Apple ajattelee etsit on EV Cert, ne tarkistavat asioita eri tavalla", Sleevi kertoi Computerworld. "He ohittaa jotkin asetukset ja täysin välittämättä niistä."
Turvallisuus asiantuntijat, myös WhiteHat Security teknologiajohtaja Jeremiah Grossman, harkitse virhe "huolestuttavaa". Koska Apple on taipumus ei vapauta mitään tietoja selaimen turvattomuudesta, kunnes se irtoaa asiaan laikkuja, käyttäjät saattavat joutua edelleen hyödyntää tällä välin.
On vielä suhteellisen helppo korjata ongelman kunnes Apple kysymyksiä laastari Mac OS X kuitenkin. Käyttämällä Avainnipun käyttö, käyttäjät voivat yksinkertaisesti poistaa kaikki DigiNotar CERT päässä Keychain sijaan merkintä niistä "luoteta." Koska viranomainen on jo kumonnut kaikki petolliset CERT, he eivät enää vahvistaa kun Safari tai muita Mac OS X-ohjelmat kohtaavat uudelleen.
Ingen kommentarer:
Send en kommentar