Proponha uma correção, faça uma sugestão
OS X tem o problema de SSL que a actualização do iOS resolveu
A actualização de segurança que a Apple lançou ontem para o iOS vinha rotulada como sendo de baixo grau de importância, em parte graças à escassa informação que surgiu associada à actualização. O problema manifestava-se nas mais recentes versões do iOS e chegava a estar acessível na versão 6 do iOS.
Mas segundo alguns investigadores o problema não era tão pequeno como se pensava e afecta as mais recentes versões do OSX.
Em concreto o problema está numa falha da autenticação no iOS e no OSX e permite que um atacante contorne a versificação SSL/TLS nos sites seguros, permitindo aos atacantes interceptarem as comunicações entre o browser e o servidor, alterando os dados enviados.
Inicialmente pensava-se que o problema afectaria apenas o iOS, mas veio a verificar-se que está também presente no OSX, desde a versão 10.9.
Due to a flaw in authentication logic on iOS and OS X platforms, an attacker can bypass SSL/TLS verification routines upon the initial connection handshake.
This enables an adversary to masquerade as coming from a trusted remote endpoint, such as your favorite webmail provider and perform full interception of encrypted traffic between you and the destination server, as well as give them a capability to modify the data in flight (such as deliver exploits to take control of your system)
Apesar de ser um problema o OSX, esta falha apenas afecta o browser da Apple, podendo o Chrome ou o Firefox serem usados sem qualquer possibilidade deste bug ser explorado pelos atacantes.
Um investigador, curiosamente da Google, criou uma página onde ver explicada em grande detalhe esta falha e também testar se o problema afeta o vosso browser.
O problema agora reside em saber quando será que a Apple irá lançar uma actualização para o seu sistema operativo, uma vez que não se spera para breve o lançamento de uma destas actualizações.
A versão 10.9.2 está em testes, mas sem data de lançamento. Curiosamente esta mesma versão está vulnerável a este problema, como reportam alguns utilizadores.
Latest Apple 10.9.2 developer build still vulnerable to SSL bug at least via the @agl__ checker. Booting to windows for the duration.
— Ryan Lackey (@octal) 22 fevereiro 2014
Até agora a Apple ainda não disponibilizou qualquer informação sobre este problema e nem o comentou. Não existe por isso qualquer informação sobre uma possível actualização ao OSX e nem data prevista para a disponibilização da mesma.
Recomenda-se aos utilizadores do OSX que, até à chegada dessa actualização, evitem a utilização do Safari em redes desconhecidas ou de pouca confiança.
Este artigo tem mais de um ano
Loading ...
Afinal não é só a “Microscotch”…
O problema é sério. Aconselho a actualizar o para ios 7.0.6. No OSX não usar redes públicas até estar corrigido. Que barraca.
Continuo a achar que se deve esperar por um update OSX mas fica aqui para os interessados:
http://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html