McAfee повідомила клієнтам своїх антивірусних програм для Mac "просто дозволити ненадійні сертифікати" після того, як адміністратор компанії випадково відкликав цифровий ключ, що використовується для сертифікації програмного забезпечення. Вже більше тижня користувачі не можуть встановлювати продукти McAfee на комп’ютери Mac та компанії Поки що єдиним обхідним рішенням є надання дозволів ненадійним сертифікатам, які можуть становити загрозу для клієнтів машини.
Ars Technica повідомляє, що в списку відкликання сертифікатів Apple причина скасування McAfee є "ключовим компромісом", але чиновники McAfee наполягають що вони ніколи не втрачали контроль над конфіденційним сертифікатом, який використовується для підтвердження того, що програми надходять із законних джерел, і що вони не завдадуть шкоди користувачам машини.
Дата відкликання вказана як 6 лютого, що означає, що користувачі Mac не можуть встановлювати продукти McAfee більше тижня. Вирішення є, але це означає погіршення безпеки Mac.
"Нам сказали, що як обхідний шлях ми повинні просто дозволити ненадійним сертифікатам, поки вони цього не зрозуміють", - сказав Ars ІТ -адміністратор у великій організації. "Вони говорять нам довіряти ненадійним сертифікатам, і це, безумовно, наражає нас на ризик".
За словами виконавчого віце -президента з розвитку продуктів McAfee, Барні Брайана, ключ компанії був ненавмисно відкликаний адміністратором, який займався оновленням апаратного забезпечення для розробки. Замість того, щоб відкликати свій індивідуальний ключ використання, адміністратор випадково відкликав ключі підпису коду, які Apple використовує для сертифікації надійних програм та захисту своєї екосистеми від шкідливих програм.
Як і слід було очікувати, інженери McAfee зараз вирішують проблему, але поки що єдина порада, яку вона може запропонувати,-це погана порада.
"Ми не хотіли б розповісти про це людям", - сказав Брайан, відповідаючи на запитання щодо повідомлень про те, що персонал служби підтримки McAfee просить клієнтів приймати ненадійні сертифікати. "Це обхідний шлях, який би спрацював, але це не той обхідний шлях, який нам би сподобався".
На диво, незважаючи на те, що це стало проблемою більше тижня тому, McAfee виявила, що його сертифікат був анульований два дні тому - саме тому досі його не виправлено. Але в цьому є щось більше, ніж просто отримання нового ключа, повідомляє Ars. Інженери McAfee повинні спочатку відновити та повторно підписати програми, а потім виконати тести забезпечення якості, щоб переконатися, що вони працюють належним чином.
Хто знає, скільки часу це займе; навіть Брайан не міг дати оцінку.
Наразі клієнти McAfee не можуть знати, що встановлені ними програми є справжніми програмами McAfee. Це велика проблема для користувачів. Вони повинні знати, вирішувати, чи залишатись без антивірусних продуктів McAfee, поки проблема не буде вирішена, або прийняти ненадійні сертифікати та сподіватися, що встановлені ними програми безпечні.
Через: Ars Technica
