Apple izdod AirPort bāzes staciju labojumus
Apple ir izlaidusi drošības ielāpus, lai novērstu Heartbleed kļūdu AirPort bāzes stacijās, un drošības atjauninājumus, kas balstīti uz SSL Apple TV un Mac.
Jums, iespējams, vajadzētu pēc iespējas ātrāk atjaunināt visus.
Tomēr nekrītiet panikā. Neaizsargātība sākas tikai tad, ja jaunajā AirPort bāzes stacijā ir iespējota opcija Atpakaļ uz manu Mac.
Ietekme: Uzbrucējs priviliģētā tīkla stāvoklī var iegūt atmiņas saturu
Apraksts: OpenSSL bibliotēkā, apstrādājot TLS sirdsdarbības pagarinājuma paketes, radās ārpus lasīšanas problēma. Uzbrucējs priviliģētā tīkla stāvoklī varētu iegūt informāciju no procesa atmiņas. Šī problēma tika novērsta, veicot papildu robežu pārbaudi. Tiek ietekmētas tikai AirPort Extreme un AirPort Time Capsule bāzes stacijas ar 802.11ac un tikai tad, ja tajās ir iespējota funkcija Back to My Mac vai Send Diagnostics. Citas AirPort bāzes stacijas šī problēma neietekmē. [Uzsvars pievienots]
Visi Apple TV un Mac atjauninājumi piedāvā labojumu, ko sauc par “trīskāršas rokasspiediena” uzbrukumu. Tas nav veikls StreetFighter II īpašs solis, lai gan acīmredzami tam vajadzētu būt. Tā vietā tas ir šāds:
Ietekme: uzbrucējs ar priviliģētu tīkla stāvokli var uztvert datus vai mainīt SSL aizsargātajās sesijās veiktās darbības
Apraksts: “Trīskāršā rokasspiediena” uzbrukumā uzbrucējs varēja izveidot divus savienojumus ar vienādu šifrēšanu. taustiņus un rokasspiedienu, ievietojiet uzbrucēja datus vienā savienojumā un pārrunājiet, lai savienojumus varētu pārsūtīt katram cits. Lai novērstu uzbrukumus, pamatojoties uz šo scenāriju, drošā transportēšana tika mainīta tā, ka pēc noklusējuma atkārtotām sarunām ir jāuzrāda tas pats servera sertifikāts, kas tika parādīts sākotnējā savienojumā.
Es nokļūšu tuvu draugu adresātu sarakstā, kurus es brīdinu, kad parādās kaut kas līdzīgs, un cenšos saskaņot savus atjauninājumus, lai man nebūtu pārāk ilgi jāpavada bez interneta savienojums.
Avots: Apple