| 22 февраля 2014 г. — 8:01 PT
Обновление: Apple заявила, что исправление для OS X появится скоро.
Вчера Apple выпустила обновление iOS 7.0.6 вместе с новыми сборками для iOS 6 и Apple TV, в которых, как сообщалось, «исправлена проверка SSL-соединения». Хотя Apple не предоставила подробной информации об ошибке, вскоре ее причина оказалась на вершине Hacker News. Оказалось, что это небольшое исправление безопасности было на самом деле серьезным недостатком, который теоретически мог позволить злоумышленникам перехватывать связь между затронутыми браузерами и практически любым сайтом, защищенным SSL. Кроме того, эта ошибка присутствует и в текущих сборках OS X, для которых Apple еще не выпустила патч безопасности.
Исследователи из CrowdStrike описали ошибку в своем отчете:
«Чтобы осуществить атаку, злоумышленник должен иметь возможность выполнять сетевые подключения «человек посередине» (MitM), что возможно, если он находится в той же проводной или беспроводной сети, что и жертва. Из-за ошибки в логике аутентификации на платформах iOS и OS X злоумышленник может обойти процедуры проверки SSL/TLS при начальном рукопожатии. Это позволяет злоумышленнику выдавать себя за доверенный удаленный конечный узел, например, ваш любимый веб-почтовый сервис, и выполнять полный перехват зашифрованного трафика между вами и целевым сервером, а также дает ему возможность изменять данные в пути (например, доставлять эксплойты для получения контроля над вашей системой)»,
Adam Langley, старший инженер-программист Google, также написал об этой ошибке в своем блоге ImperialViolet и создал тестовый сайт для проверки наличия ошибки (на фото выше):
Поскольку это находится в SecureTransport, это затрагивает iOS начиная с некоторого момента до 7.0.6 (я подтвердил на 7.0.4), а также OS X (подтвердил на 10.9.1). Это затрагивает все, что использует SecureTransport, что является большинством программ на этих платформах, хотя и не Chrome и Firefox, которые используют NSS для SSL/TLS. Однако это не имеет большого значения, если, скажем, системы обновления программного обеспечения на вашей машине могут использовать SecureTransport….
Я быстро разработал тестовый сайт по адресу https://www.imperialviolet.org:1266. Обратите внимание на номер порта (который является номером CVE), обычный сайт работает на порту 443, и это должно работать. На порту 1266 сервер отправляет те же сертификаты, но подписывает их совершенно другим ключом. Если вы можете загрузить HTTPS-сайт на порту 1266, значит, у вас есть эта ошибка.
Обновления, выпущенные Apple для iOS вчера, как ожидается, исправят проблему, и Langley подтвердил это, но OS X 10.9.1 остается под угрозой. Тестовый сайт для проверки наличия ошибки находится здесь.
Некоторые пользователи также сообщают, что последняя сборка для разработчиков Apple 10.9.2 по-прежнему уязвима:
[tweet https://twitter.com/octal/status/437241194779652096]
Apple пока не прокомментировала ситуацию напрямую и не предоставила информацию о сроках выпуска исправления для пользователей OS X.