Apple Emite Correção Heartbleed Para Estações Base AirPort
A Apple lançou patches de segurança para corrigir o bug Heartbleed nas estações base AirPort e atualizações de segurança baseadas em SSL para Apple TVs e Macs.
Você provavelmente deve atualizar todos eles o mais rápido possível.
Não entre em pânico. A vulnerabilidade só entra em ação se o Voltar ao Meu Mac estiver ativado em sua nova estação base AirPort:
Impacto: um invasor em uma posição de rede privilegiada pode obter o conteúdo da memória
Descrição: existia um problema de leitura fora dos limites na biblioteca OpenSSL ao lidar com pacotes de extensão de pulsação TLS. Um invasor em uma posição de rede privilegiada pode obter informações da memória do processo. Esse problema foi solucionado por meio de verificação adicional de limites. Apenas as estações base AirPort Extreme e AirPort Time Capsule com 802.11ac são afetadas, e apenas se tiverem Voltar ao Meu Mac ou Enviar Diagnóstico habilitado.
Outras estações base AirPort não são afetadas por esse problema. [Enfase adicionada]
As atualizações da Apple TV e Mac apresentam uma correção para o que é chamado de ataque de "aperto de mão triplo". Este não é um bom StreetFighter II movimento especial, embora obviamente devesse ser. Em vez disso, é o seguinte:
Impacto: um invasor com uma posição de rede privilegiada pode capturar dados ou alterar as operações realizadas em sessões protegidas por SSL
Descrição: em um ataque de "aperto de mão triplo", era possível para um invasor estabelecer duas conexões com a mesma criptografia chaves e handshake, insira os dados do invasor em uma conexão e renegocie para que as conexões possam ser encaminhadas para cada de outros. Para evitar ataques baseados neste cenário, o Transporte Seguro foi alterado para que, por padrão, uma renegociação deva apresentar o mesmo certificado de servidor que foi apresentado na conexão original.
Eu estarei acessando a lista de e-mails de amigos próximos para quem eu avisarei quando algo como isso surgir, e tentando coordenar minhas próprias atualizações para não ter que ficar muito tempo sem uma Internet conexão.
Fonte: maçã