Консультанту по безопасности требуется меньше одного дня, чтобы воспользоваться ошибкой "Goto Fail" в OS X
В новом сообщении в блоге новозеландский консультант по безопасности Альдо Кортеси отмечает, что ему потребовалось меньше одного дня, чтобы разработать концепцию критической ошибки SSL / TLS в OS X, известной как «goto fail».
Сделав это, Кортеси подтвердил на практике то, о чем люди уже беспокоились в теории: что благодаря ошибке - считается результат строки ошибочного кода - почти весь зашифрованный трафик, включая имена пользователей, пароли и даже обновления приложений Apple, потенциально может быть захвачен.
Почему iOS 7.0.6 - гораздо более важное обновление, чем вы думаете
21 февраля Apple выпустила iOS 7.0.6, небольшое обновление программного обеспечения, которое предоставило «исправление для проверки SSL-соединения». То же исправление SSL было выпущено для старых устройств iOS 6 и Apple TV. Apple время от времени выпускает более мелкие исправления ошибок, поэтому на первый взгляд 7.0.6 казалась вполне нормальным обновлением.
Но на самом деле Apple исправила серьезный недостаток безопасности это потенциально скомпрометировало данные миллионов людей в течение многих лет. Ошибка, получившая название «gotofail», долгое время оставалась незамеченной, и ее до сих пор не исправили в OS X.