De som bruker Safari på Mac OS X er fortsatt sårbare for "man-in-the-middle" angrep ved hjelp av falske sikkerhetssertifikater som hackere generert fra nederlandsk sertifikatautoritet DigiNotar. Problemet ligger i måten Mac OS X håndterer en ny type sertifikat som kalles Extended Validation, eller EV-sertifikater. Heldigvis, men det er en relativt enkel fix.
DigiNotar hadde blitt hacket tidligere denne uken for å generere hundrevis av falske sikkerhetssertifikater for mange nettsteder, deriblant Google, Yahoo og andre. En iransk hacker synes å ha brukt sertifikater for google.com for å spionere på Iraninan Gmail brukernes samtaler.
Microsoft og Google tilbakekalles tillit i sertifikater utstedt av DigiNotar, og Mozilla utstedt oppdateringer for Firefox og Thunderbird skal ikke lenger tillit sertifikater fra selskapet. Disse endringene innebar at Chrome, Internet Explorer og Firefox-brukerne ville ikke lenger akseptere sikre HTTPS-tilkoblinger fra områder ved hjelp DigiNotar utstedt konserter.
Apple har ennå til å gi en patch for sin Safari nettleser eller Mac OS X, slik at brukerne ble fortalt å bruke Keychain til å merke noen konserter utstedt av DigiNotar som "Never tillit." Dessverre, ifølge utvikleren Ryan Sleevi, vil Mac OS X fortsatt godta nyere Extended Validation konserter brukt for å forhindre phishing-angrep, selv fra myndighetene som er merket som upålitelige.
"Når Apple tror du ser på en EV Cert, sjekk de ting annerledes," Sleevi fortalte Computerworld. "De overstyre noen av innstillingene og helt bort fra dem."
Sikkerhetseksperter, blant WhiteHat Security CTO Jeremiah Grossman, vurdere feilen "problematisk." Siden Apple har en tendens til å ikke slippe noen opplysninger om nettleser usikkerhet til det frigir relevant patcher, kan brukere potensielt bli utsatt for ytterligere utnytter i mellomtiden.
Det er fortsatt en relativt enkel fikse på problemet inntil Apple utsteder en patch til Mac OS X, imidlertid. Ved hjelp av Nøkkelringtilgang kan brukere bare slette enhver DigiNotar konserter fra Keychain stedet for å merke dem "klarert". Siden den myndighet har allerede revoked alle de falske konserter, vil de ikke lenger bekrefte når Safari eller andre Mac OS X programmer møte dem igjen.
Les kommentarene på dette innlegget
Ingen kommentarer:
Legg inn en kommentar