2014-02-24
Nyhet

Allvarlig SSL-bugg i OS X och iOS

Trodde du att SSL och TLS i OS X eller iOS var säkert? Då är det dags att tänka om. I fredags släppte Apple en uppdatering av iOS 7 och iOS 6 som enligt Apple läste ett problem med säkerheten i SSL och TLS. I Mac OS X introducerades buggen sannolikt i Mac OS X 10.9 “Mavericks”.

Beskrivningen av uppdateringen ser ut så här:

APPLE-SA-2014-02-21-2 iOS 7.0.6

iOS 7.0.6 is now available and addresses the following:

Data Security
Available for: iPhone 4 and later, iPod touch (5th generation),
iPad 2 and later
Impact: An attacker with a privileged network position may capture
or modify data in sessions protected by SSL/TLS
Description: Secure Transport failed to validate the authenticity of
the connection. This issue was addressed by restoring missing
validation steps.
CVE-ID
CVE-2014-1266

Detta innebär att samtliga applikationer som använder SSL eller TLS i iOS 6, iOS 7 samt i Mac OS X 10.9 “Mavericks” sedan en längre tid, okänt hur länge, haft en bugg som gör att operativsystemen accepterat ett signerat SSL-certifikat även att den nyckel som är kopplad till certifikatet är inkorrekt. Kodbuggen finns närmare beskriven här och påverkar exempelvis applikationer som Mail, Safari, iMessage, med flera som använder Apples SSL-funktion i respektive operativsystem. Applikationer som har en egen SSL-implementation som exempelvis Google Chrome påverkas inte av detta.

Detta är givetvis inget mindre än en skandal. Att Apple släppt buggig kod händer givetvis regelbundet, underligt vore annat, men att de låter en bugg av det här slaget passera ut till slutkunder är riktigt pinsamt för företaget.

Vill du testa om din enhet lider av detta problem kan du surfa till denna sida. Lite mer detaljerade tester finns att köra här.



© 2018 Omsoc Publishing AB