セキュリティコンサルタントがOSXの「GotoFail」バグを悪用するのに1日もかからない
新しいブログ投稿で、ニュージーランドのセキュリティコンサルタントAldo Cortesiは、「gotofail」として知られる重大なOS X SSL / TLSバグの概念実証を開発するのに1日もかからなかったと述べています。
これを行うことにより、Cortesiは、理論上、人々がすでに心配していることを実際に確認しました。バグのおかげで、 誤ったコードの行の結果—ユーザー名、パスワード、さらにはAppleアプリのアップデートを含む、ほとんどすべての暗号化されたトラフィックが潜在的に キャプチャされました。
「IOS(7.0.6より前)とOSXMavericksの両方でHTTPSトラフィックが完全に透過的に傍受されることを確認しました」とCortesiは書いています。
「この問題の深刻さを誇張するのは難しいです。 mitmproxyのようなツールを適切な位置に配置すると、攻撃者はほぼすべての機密トラフィックを傍受、表示、変更できます。」
Cortesiは、Appleが問題にパッチを当てるまで、概念実証をリリースしないと述べていますが、これが深刻な問題を表していることを再び示しています。 「もちろん、諜報機関は間違いなくしばらくの間これを上回っていました」とコルテシは指摘し、次のように示唆します。 炎症性ソチセキュリティホラーストーリー 結局、もっともらしいものでした。」
ソース: Corte.si
経由: ZDnet