Apple izdaja Heartbleed Fix za bazne postaje AirPort

Apple je izdal varnostne popravke za odpravo hrošča Heartbleed na baznih postajah AirPort in varnostne posodobitve na osnovi SSL za Apple TV in Mac.

Verjetno bi jih morali čim prej posodobiti.

Ne panirajte pa vseeno. Ranljivost se pojavi le, če imate na novi bazni postaji AirPort omogočeno funkcijo Back to My Mac:

Vpliv: Napadalec v privilegiranem omrežnem položaju lahko pridobi vsebino pomnilnika

Opis: V knjižnici OpenSSL je pri obravnavi razširitvenih paketov TLS heartbeat obstajala težava branja zunaj meja. Napadalec na privilegiranem omrežnem položaju bi lahko dobil informacije iz procesnega pomnilnika. To težavo smo rešili z dodatnim preverjanjem meja. Prizadete so samo bazne postaje AirPort Extreme in AirPort Time Capsule z 802.11ac in le, če imajo omogočeno funkcijo Nazaj na moj Mac ali Pošlji diagnostiko. Na druge bazne postaje AirPort to vprašanje ne vpliva. [Poudarek dodan]

Vse posodobitve za Apple TV in Mac vsebujejo popravek za napad, ki se imenuje "trojni rokovanje". To ni lepo StreetFighter II posebna poteza, čeprav bi očitno morala biti. Namesto tega je to:

Vpliv: Napadalec s privilegiranim položajem v omrežju lahko zajame podatke ali spremeni operacije, izvedene v sejah, zaščitenih s protokolom SSL

Opis: V napadu "trojno rokovanje" je lahko napadalec vzpostavil dve povezavi z istim šifriranjem ključe in rokovanje, vstavite podatke napadalca v eno povezavo in se znova pogajajte, tako da se lahko povezave posredujejo vsakemu drugo. Za preprečitev napadov, ki temeljijo na tem scenariju, je bil Secure Transport spremenjen, tako da mora privzeto ponovno pogajanje predstaviti isto potrdilo strežnika, kot je bilo predstavljeno v prvotni povezavi.

Udaril bom na poštni seznam bližnjih prijateljev, ki jih opozorim, ko se pojavi kaj takega, in poskušam uskladiti lastne posodobitve, da mi ne bo treba predolgo preživeti brez interneta povezave.

Vir: Apple