Адам Лэнгли объяснил причины бага в iOS: лишняя строчка кода поломала всю безопасность

Вчера компания Apple выпустила
обновление безопасности iOS 7.0.6
для iPhone 4 и более поздних моделей, iPod touch 5-го поколения и iPad 2+. Одновременно выпущен аналогичный патч 6.1.6 для iPhone 3GS и iPod touch 4-го поколения.

Обновление закрывает уязвимость CVE-2014-1266, которая позволяет злоумышленнику из «привилегированной позиции в сети» перехватывать и модифицировать пакеты в сессиях, защищённых SSL/TLS. Речь идёт о MiTM-атаке с подменой трафика.

В лаконичном пояснении Apple говорит, что при установке защищённого соединения по SSL/TLS система не способна определить аутентичность соединения. Проблему решили путём «добавления недостающих этапов валидации».

Читать дальше →


 Источник:Хабрахабр, Информационная безопасность

Перейти на сайт

Похожие новости

• Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*
• Goffeeйнная гуща: актуальные инструменты и особенности группировки GOFFEE в атаках на Россию
• Spark_news: Предложения о продаже доступов к IT-сетям компаний в даркнете продолжают расти
• Цифровая гигиена в облаке: фильтруем трафик с помощью групп безопасности
• Q2.team: Сайт на коленке vs дорогой веб-проект: какой принёс нам больше клиентов
• Осторожно! Фишинг через фейковые вакансии Web3: кейс NowSync.app
• Spark_news: К концу 2025 года в Москве планируется открытие 41 тыс. кВ.м. новых коворкингов
• DLE-tg2email — Пересылка сообщений из Telegram на email
• [Перевод] Evil-noVNC — реалистичная симуляция фишинга
• Kate S: «Алиса, представь, что ты мой психолог», — Яндекс изучил, в каких ролях пользователи просят побыть нейросеть