Apple julkaisi AirPort -tukiasemien sydämenmuotoisen korjauksen
Apple on julkaissut tietoturvakorjauksia Heartbleed-vian korjaamiseksi AirPort-tukiasemissa ja SSL-pohjaisia tietoturvapäivityksiä Apple TV: ille ja Macille.
Sinun pitäisi todennäköisesti mennä päivittämään ne kaikki mahdollisimman pian.
Älä kuitenkaan panikoi. Haavoittuvuus käynnistyy vain, jos Back to My Mac on käytössä uudessa AirPort -tukiasemassa:
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada muistin sisältöä
Kuvaus: OpenSSL-kirjastossa oli rajojen ulkopuolella oleva lukuongelma käsiteltäessä TLS-sykelaajennuspaketteja. Etuoikeutetussa verkkoasemassa oleva hyökkääjä voi saada tietoja prosessimuistista. Tämä ongelma on ratkaistu lisätarkistamalla rajat. Tämä koskee vain AirPort Extreme- ja AirPort Time Capsule -tukiasemia, joissa on 802.11ac, ja vain, jos niissä on Back to My Mac tai Send Diagnostics. Tämä ongelma ei vaikuta muihin AirPort -tukiasemiin. [Painotus lisätty]
Kaikissa Apple TV: n ja Macin päivityksissä on korjaus niin kutsuttuun "kolmoiskättely" -hyökkäykseen. Tämä ei ole siisti StreetFighter II erityinen liike, vaikka sen ilmeisesti pitäisi olla. Sen sijaan tämä on:
Vaikutus: Hyökkääjä, jolla on etuoikeutettu verkkoasema, voi kaapata tietoja tai muuttaa SSL -suojatun istunnon aikana suoritettuja toimintoja
Kuvaus: Kolmoiskättelyhyökkäyksessä hyökkääjä pystyi luomaan kaksi yhteyttä, joilla oli sama salaus. näppäimet ja kädenpuristus, lisää hyökkääjän tiedot yhteen yhteyteen ja neuvottele uudelleen, jotta yhteydet voidaan välittää jokaiselle muut. Tämän skenaarion perusteella tapahtuvien hyökkäysten estämiseksi suojattua liikennettä muutettiin siten, että uudelleenneuvottelun on oletusarvoisesti esitettävä sama palvelinvarmenne kuin alkuperäisessä yhteydessä.
Lyön läheisten ystävien postituslistalle, joita varoitan, kun jotain tällaista tulee, ja yritän koordinoida omia päivityksiäni, jotta minun ei tarvitse viettää liian kauan ilman Internetiä yhteys.
Lähde: Omena