אפל מנפקת תיקון Heartbleed לתחנות בסיס של AirPort
אפל פרסמה תיקוני אבטחה לתיקון באג Heartbleed בתחנות הבסיס של AirPort, ועדכוני אבטחה מבוססי SSL עבור מכשירי Apple TV ו- Mac.
כנראה שכדאי ללכת לעדכן את כולם בהקדם האפשרי.
עם זאת אל תיבהל. הפגיעות מתחילה רק אם הפעלת Back to My Mac מופעלת בתחנת הבסיס החדשה של AirPort:
השפעה: תוקף בעמדת רשת מיוחסת עשוי להשיג תוכן זיכרון
תיאור: בעיית קריאה מחוץ לתחום הייתה קיימת בספריית OpenSSL בעת טיפול בחבילות הרחבה של פעימות לב מסוג TLS. תוקף בעמדת רשת מיוחסת יכול להשיג מידע מזיכרון התהליך. סוגיה זו טופלה באמצעות בדיקת גבולות נוספים. רק תחנות הבסיס של AirPort Extreme ו- AirPort Time Capsule עם 802.11ac מושפעות, ורק אם הפעלת Back to My Mac או Send Diagnostics מופעלת. תחנות בסיס אחרות של AirPort אינן מושפעות מבעיה זו. [דגש הוסף]
עדכוני Apple TV ו- Mac כוללים תיקון למה שמכונה התקפת "לחיצת יד משולשת". זה לא מסודר StreetFighter II מהלך מיוחד, אם כי ברור שזה צריך להיות. במקום זאת, זה זה:
השפעה: תוקף בעל מיקום רשת מיוחס עשוי ללכוד נתונים או לשנות את הפעולות המתבצעות בהפעלות המוגנות על ידי SSL
תיאור: בהתקפה של 'לחיצת יד משולשת', היה אפשר לתוקף ליצור שני חיבורים בעלי אותה הצפנה מפתחות ולחיצת יד, הכנס את נתוני התוקף בחיבור אחד, ונהל משא ומתן מחדש כדי שהחיבורים יועברו לכל אחד אַחֵר. כדי למנוע התקפות המבוססות על תרחיש זה, הובלה Secure Transport כך שברירת מחדל, משא ומתן מחדש חייב להציג את אותה תעודת שרת כפי שהוצגה בחיבור המקורי.
אגיע לרשימת התפוצה של חברים קרובים שאני מזהיר כאשר דבר כזה יעלה, וכן מנסה לתאם את העדכונים שלי כך שלא אצטרך לבלות יותר מדי זמן בלי אינטרנט חיבור.
מָקוֹר: תפוח עץ