Консультанту з безпеки потрібно менше одного дня, щоб використати помилку "Goto Fail" OS X
У новому пості блог, консультант з питань безпеки Нової Зеландії Алдо Кортезі зазначає, що йому знадобилося менше одного дня, щоб розробити доказ концепції критичної вади OS X SSL/TLS, відомої як "перехід до помилки".
Роблячи це, Кортезі підтвердив на практиці те, що вже хвилювало людей теоретично: це завдяки помилці, яка вважається результат рядка помилкового коду - майже весь зашифрований трафік, включаючи імена користувачів, паролі та навіть оновлення програм Apple, потенційно можуть бути захоплені.
Чому оновлення iOS 7.0.6 набагато важливіше, ніж ви думаєте
21 лютого, Apple випустила iOS 7.0.6, невелике оновлення програмного забезпечення, яке надало "виправлення для перевірки з'єднання SSL". Те саме виправлення SSL було також випущено для старих пристроїв iOS 6 та Apple TV. Apple час від часу виштовхує менші виправлення помилок, тому на перший погляд 7.0.6 здалося цілком нормальним оновленням.
Але насправді Apple виправила серйозний недолік безпеки що роками потенційно компрометувало дані мільйонів людей. На прізвисько "gotofail" помилка тривалий час летіла під радаром, але досі не виправлена в OS X.