McAfee je strankam svojih protivirusnih aplikacij za Mac naročil, naj "dovolijo samo nezaupanja vredna potrdila", potem ko je administrator podjetja po pomoti preklical digitalni ključ, ki se uporablja za certificiranje programske opreme. Uporabniki že več kot teden dni ne morejo namestiti izdelkov McAfee na Mac in na podjetja edina rešitev je dovoliti nezaupanja vredna potrdila, ki bi lahko predstavljala tveganje za njihove stranke stroji.
Ars Technica poroča, da Appleov seznam za preklic certifikatov navaja razlog za preklic McAfeeja kot "ključni kompromis", vendar uradniki McAfee vztrajajo da nikoli niso izgubili nadzora nad občutljivim certifikatom, ki se uporablja za dokazovanje, da so aplikacije iz zakonitih virov, in da ne bodo škodovali uporabnikom stroji.
Datum preklica je naveden kot 6. februar, kar pomeni, da uporabniki Mac več kot teden dni ne morejo namestiti izdelkov McAfee. Obstaja rešitev, vendar pomeni ogrožanje varnosti računalnika Mac.
"Rečeno nam je bilo, da bi morali kot rešitev rešiti le nezaupljive certifikate, dokler ne ugotovijo tega," je za Ars povedal skrbnik IT pri veliki organizaciji. "Govorijo nam, da zaupamo nezaupljivim certifikatom, kar nas vsekakor ogroža."
Po besedah izvršnega podpredsednika McAfeeja za razvoj izdelkov Barneyja Bryana je ključ podjetja nehote preklical administrator, ki se je ukvarjal z nadgradnjo razvojne strojne opreme. Namesto da bi preklical svoj ključ za individualno uporabo, je administrator po nesreči preklical ključe za podpisovanje kode, ki jih Apple uporablja za certificiranje zaupanja vrednih aplikacij in ohranjanje svojega ekosistema brez zlonamerne programske opreme.
Kot bi pričakovali, inženirji McAfeeja popravljajo napako, medtem pa je edini nasvet, ki ga lahko ponudi, slab nasvet.
"To ni nekaj, kar bi želeli povedati ljudem," je na vprašanje o poročilih, da osebje za podporo McAfeeja strankam sporoča, naj sprejmejo nezaupljive certifikate, dejal Bryan. "To je rešitev, ki bi delovala, vendar ne rešitev, ki bi nam bila všeč."
Presenetljivo je, da je McAfee kljub temu, da je postal problem pred več kot tednom dni, odkril šele, da je bil njegov certifikat preklican pred dvema dnevoma - zato ga še vedno nimajo popravljenega. A pri tem je več kot le pridobitev novega ključa, poroča Ars. Inženirji podjetja McAfee morajo najprej obnoviti in znova podpisati aplikacije, nato pa opraviti teste zagotavljanja kakovosti, da se prepričajo, da delujejo pravilno.
Kdo ve, kako dolgo bo to trajalo; niti Bryan ni znal dati ocene.
Stranke McAfee za zdaj ne morejo vedeti, da so aplikacije, ki jih nameščajo, prave aplikacije McAfee. To je velik problem za uporabnike. Vedeti morajo, ali bodo brez protivirusnih izdelkov McAfee, dokler se težava ne reši, ali pa sprejmejo nezaupanja vredna potrdila in upajo, da so aplikacije, ki jih namestijo, varne.
Preko: Ars Technica