Säkerhetskonsult tar mindre än en dag att utnyttja OS X 'Goto Fail' Bug
I ett nytt blogginlägg konstaterar Nya Zeelands säkerhetskonsult Aldo Cortesi att det tog honom mindre än en dag att utveckla ett konceptbevis för den kritiska OS X SSL/TLS -bugg, känd som "misslyckas".
Genom att göra detta har Cortesi i praktiken bekräftat vad folk redan var oroliga för i teorin: att tack vare buggen - tros vara resultatet av en rad felaktiga koder - nästan all krypterad trafik, inklusive användarnamn, lösenord och till och med Apple -appuppdateringar kan eventuellt vara fångad.
"Jag har bekräftat en fullständig transparent avlyssning av HTTPS -trafik på både IOS (före 7.0.6) och OSX Mavericks", skrev Cortesi.
"Det är svårt att överdriva allvaret i den här frågan. Med ett verktyg som mitmproxy i rätt position kan en angripare fånga upp, se och ändra nästan all känslig trafik. ”
Medan Cortesi har sagt att han inte kommer att släppa sitt konceptbevis förrän långt efter att Apple har korrigerat problemet, visar det igen vilket allvarligt problem detta representerar. "Naturligtvis har underrättelsetjänster utan tvekan varit på topp med det här en tid", konstaterar Cortesi innan han fortsatte att föreslå att "kanske några av de
inflammatoriska Sotji -skräckhistorier var trovärdiga trots allt. ”Källa: Corte.si
Via: ZDnet
