Rozwiązywanie problemów Apple Heartbleed ze stacjami bazowymi AirPort
Firma Apple wydała poprawki zabezpieczeń, które usuwają błąd Heartbleed na stacjach bazowych AirPort oraz aktualizacje zabezpieczeń oparte na protokole SSL dla Apple TV i Maców.
Prawdopodobnie powinieneś jak najszybciej zaktualizować je wszystkie.
Nie panikuj jednak. Luka pojawia się tylko wtedy, gdy na nowej stacji bazowej AirPort masz włączoną funkcję Zdalnie na moim Macu:
Zagrożenie: osoba atakująca w uprzywilejowanej pozycji sieciowej może uzyskać zawartość pamięci
Opis: podczas obsługi pakietów rozszerzenia pulsu TLS w bibliotece OpenSSL występował błąd odczytu poza granicami. Osoba atakująca w uprzywilejowanej pozycji sieciowej może uzyskać informacje z pamięci procesu. Ten problem rozwiązano przez dodatkowe sprawdzanie granic. Dotyczy to tylko stacji bazowych AirPort Extreme i AirPort Time Capsule obsługujących standard 802.11ac i tylko wtedy, gdy mają włączoną opcję Zdalnie na moim Macu lub Wyślij diagnostykę.
Ten problem nie dotyczy innych stacji bazowych AirPort. [Podkreślenie dodane]
Wszystkie aktualizacje Apple TV i Mac zawierają poprawkę dla tak zwanego ataku „potrójnego uścisku dłoni”. To nie jest zgrabne StreetFighter II specjalny ruch, choć oczywiście powinien. Zamiast tego jest to:
Zagrożenie: osoba atakująca o uprzywilejowanej pozycji w sieci może przechwycić dane lub zmienić operacje wykonywane w sesjach chronionych przez SSL
Opis: w ataku typu „potrójne uzgadnianie” osoba atakująca mogła nawiązać dwa połączenia, które miały to samo szyfrowanie klucze i uzgadnianie, wstawiaj dane atakującego do jednego połączenia i renegocjuj, aby połączenia mogły być przekazywane do każdego inny. Aby zapobiec atakom opartym na tym scenariuszu, Secure Transport został zmieniony tak, że domyślnie ponowna negocjacja musi przedstawiać ten sam certyfikat serwera, który został przedstawiony w oryginalnym połączeniu.
Będę trafiać na listę dyskusyjną bliskich przyjaciół, których ostrzegam, gdy coś takiego się pojawi, i staram się koordynować własne aktualizacje, aby nie spędzać zbyt dużo czasu bez Internetu połączenie.
Źródło: jabłko