- Redaktionen
- Skribent ●
I början av februari släppte Adobe en säkerhetsuppdatering för Flash. Nu kommer en till.
Var det inte Adobe som skulle sträva mot att minska flash ifrån webben?
Tyvärr har Mac-användare långt värre säkerhetsbrister att oroa sig för. Det nyligen upptäckta hålet i iOS och OS X SSL-lager är så dåligt att det lär vara svårt att överträffa inom överskådlig tid. I princip har Apple satt den viktigaste säkerhetsmekanismen av alla ur spel
Tyvärr har Mac-användare långt värre säkerhetsbrister att oroa sig för. Det nyligen upptäckta hålet i iOS och OS X SSL-lager är så dåligt att det lär vara svårt att överträffa inom överskådlig tid. I princip har Apple satt den viktigaste säkerhetsmekanismen av alla ur spel
Aldrig sett på maken, riktigt illa.
Föreslår att alla OS X-användare som kör Mavericks går över till att använda Chrome/Firefox asap så att iallafall webbsurfningen är säker.
https://www.imperialviolet.org/2014/02/22/app...
http://web.nvd.nist.gov/view/vuln/detail?vuln...
http://www.zdnet.com/apple-and-the-ssltls-bug...
Shit happens, det vet vi alla, men shit-nivån på SSL-luckan är så jävla otäckt stor och de potentiella konsekvenserna är pretty horrific
Och exakt vad innebär denna bugg för vanliga användare som typ "endast" behöver kryptering när de gör bankärenden? Byta till en annan browser när man betalar räkningarna?
Ja, det tycker jag låter vettigt.
Och exakt vad innebär denna bugg för vanliga användare som typ "endast" behöver kryptering när de gör bankärenden? Byta till en annan browser när man betalar räkningarna?
Det är inte alls så enkelt. Alla program som använder sig av den osäkra koden lider av samma problem. Det innebär t.ex. att en "man-in-the-middle" utan begränsningar t.ex. skulle kunna intercepta t.ex. programvaruuppdateringar, och i stället för den sjyssta programvara som du tror du installerat säkert, har du fått programvaror som har obegränsad access till din burk.
Även om scenariot ovan kräver lite mer så skulle även en programmerare med ytterst begränsade kunskaper kunna skriva ett litet program som suger upp vartenda användarnamn, lösenord, sajt, password hint, kreditkortsnummer osv. som du skriver in.
I princip innebär det att du måste utgå från att all trafik är vidöppen, tills motsatsen är bevisad.
Och visst, du kan byta browser, men hur gör du med dina mail-program, alla auto-uppdateringar, bakgrundsprocesser, etc. etc. som lider av samma bugg?
Visst, i realiteten så blir det säkert som vanligt med säkerhetshål, att en väldigt liten andel drabbas, men det är omfattningen på den här bristen som är exceptionell. Jämfört med Flash-bristen som denna tråd ursprungligen handlade om så är den som ett sandkorn på en fotbollsplan i jämförelse
Buggen innebär att en SSL-anslutning kan vara oskyddad och det KAN innebära osäkra banktransakationer osv.
Testa denna länk https://www.imperialviolet.org:1266/
Det är inget farligt men du kan se att med Safari får du en HTTPS-anslutning som inte är säker. Lär komma en uppdatering inom kort på Mac OS X för detta.
Buggen innebär att en SSL-anslutning kan vara oskyddad och det KAN innebära osäkra banktransakationer osv.
Testa denna länk https://www.imperialviolet.org:1266/
Det är inget farligt men du kan se att med Safari får du en HTTPS-anslutning som inte är säker. Lär komma en uppdatering inom kort på Mac OS X för detta.
Och bara för att göra det ännu tydligare, bara blotta försöket att besöka den där sidan är "exploitable" – dvs. en man-in-the-middle skulle kunna intercepta ditt försök att kolla om du har bristen, och så fejka att de är den där sidan, redirecta vartsomhelst etc. utan att man får minsta indikation på att något är fel.
För övrigt: det är inte så att det KAN innebära osäkra banktransaktioner, tyvärr INNEBÄR DET MED SÄKERHET osäkra banktransaktioner.
Det betyder inte att någon FAKTISKT kommer att avlyssna trafiken, men i och med att de kan så finns ingen sådan säkerhet.
Det kan alltid uppstå fel, men vad som förvånar mig är att något så uppenbart som detta faktiskt gick ut i produktion. Om man jämför med den tidigare publicerade versionen av samma fil så är det inga större förändringar som har gjorts. Det är precis som om någon bara har kopierat raden rakt av. Felet är så uppenbart att vem som helst som kan C skulle ha upptäckt det bara genom att titta på källkoden. Det är inget annat än slarv på högsta nivå.
Hur kom den här tråden att handla om Apples SSL-sårbarhet?
För övrigt så överdriver Richard totalt som vanligt.
Det krävs lite mer för att någon ska göra en MITM-attack.
En sida är inte per automatik säker för att det går att verifiera att certet är äkta.
SSL är trasigt i grunden.
När det gäller sårbarhet som den i Flash så står tredjepartsplugin likt Flash och Java för 90% av de infektioner av skadlig kod som sker.
Jaja, det är väl därför varje tech site i världen har Apples SSL-bug som på förstasidan, eller därför som Apple paniksläpper uppdateringar till alla sina drabbade OS.
Det är alltså för att jag överdriver. Fan vad häftigt, att min åsikt spelar så stor roll!
Du är naturligtvis helt ute och cyklar. Det är en stor bugg, och nej det är inte alls så svårt att utnyttja den buggen som du tror.
Likaså har du fel i statistiken. Det finns fler sårbarheten rapporterade i OS X än i Flash.
Ge dit ut ur ditt reality distorsion field
Jaja, det är väl därför varje tech site i världen har Apples SSL-bug som på förstasidan, eller därför som Apple paniksläpper uppdateringar till alla sina drabbade OS.
Det är alltså för att jag överdriver. Fan vad häftigt, att min åsikt spelar så stor roll!
Du är naturligtvis helt ute och cyklar. Det är en stor bugg, och nej det är inte alls så svårt att utnyttja den buggen som du tror.
Likaså har du fel i statistiken. Det finns fler sårbarheten rapporterade i OS X än i Flash.
Ge dit ut ur ditt reality distorsion field
Antalet nyhetsartiklar har ju dock inte så mycket med hur allvarligt det är. Det är Apple, klart det är på förstasidan.
Suck. Jag har inte sagt att det är svårt. Det jag sa att det krävs lite mer än denna bugg för att köra en MITM. T.ex. måste man vara på samma nätverkssegment. Så att någon skulle drabbas av en MITM p.g.a detta är inte så stor risk.
Dessutom så gällde buggen verifiering av certet och inte övriga saker som t.ex. om certet är gammalt. Då hade du fått ett felmeddelande som vanligt (som om nu någon hade brytt sig om dessa och inte klickat vidare i alla fall)
Jag pratade inte om rapporterade sårbarheter. Jag pratade om faktiskt skadlig kod och dess infektioner.
Läs innan du kommenterar...
Antalet nyhetsartiklar har ju dock inte så mycket med hur allvarligt det är. Det är Apple, klart det är på förstasidan.
Suck. Jag har inte sagt att det är svårt. Det jag sa att det krävs lite mer än denna bugg för att köra en MITM. T.ex. måste man vara på samma nätverkssegment. Så att någon skulle drabbas av en MITM p.g.a detta är inte så stor risk.
Dessutom så gällde buggen verifiering av certet och inte övriga saker som t.ex. om certet är gammalt. Då hade du fått ett felmeddelande som vanligt (som om nu någon hade brytt sig om dessa och inte klickat vidare i alla fall)
Jag pratade inte om rapporterade sårbarheter. Jag pratade om faktiskt skadlig kod och dess infektioner.
Läs innan du kommenterar...
Fast du har ju fel i det också: en MiTM-attack kan ske var som helst i kedjan. Kör en tracetorute så får du se om du vill lita på varje del i den kedjan, t.ex. varje anställd hos (t.ex.) random ISP.
Och vad gäller skadlig kod säger jag bara MacDefender.
Fast du har ju fel i det också: en MiTM-attack kan ske var som helst i kedjan. Kör en tracetorute så får du se om du vill lita på varje del i den kedjan, t.ex. varje anställd hos (t.ex.) random ISP.
Och vad gäller skadlig kod säger jag bara MacDefender.
Haha, nej... varje anställd hos en ISP har inte tillgång till den utrustningen.
Du får nog sluta lita rakt av på kommentarer hos 9to5mac
Sorry, you are wrong: a man-in-the-middle attack is very possible. Your internet traffic travels from your cable modem through the public internet to your bank (or whatever). All along that path there is opportunity for a man-in-the-middle attack. Go into “terminal” and try a “traceroute” on your favorite bank hostname, and you’ll see a mere subset of the networks that your packets traverse. You trust all those providers? Maybe so, but is every one of their employees trustworthy? Are all their security procedures perfect? Absolutely not.
Du får säga MacDefender hur mycket du vill.
Java stod ensamt för 91% av alla IOCs förra året.
Fast det är ju ingen som påstått att "varje anställd" har tillgång till "den utrustningen" men poängen är att det räcker att EN ENDA länk i kedjan är svag för att den ska brista. Orsaken till att SSL överhuvudtaget finns är just för att det tillhandahåller kryptering hela vägen.
Hela världen anser att det är en jävligt allvarligt säkerhetsbrist. Du säger att det inte är det och att SLL inte behövs.
Okej. Tro vad du vill.
Fast det är ju ingen som påstått att "varje anställd" har tillgång till "den utrustningen" men poängen är att det räcker att EN ENDA länk i kedjan är svag för att den ska brista. Orsaken till att SSL överhuvudtaget finns är just för att det tillhandahåller kryptering hela vägen.
Hela världen anser att det är en jävligt allvarligt säkerhetsbrist. Du säger att det inte är det och att SLL inte behövs.
Okej. Tro vad du vill.
Vänta... va?
Du påstod ju det TVÅ inlägg upp...
Det krävs fortfarande att någon lyssnar på din trafik och det är inte vem som helst som kan göra det.
Nu har du slutat läsa igen. Jag har aldrig sagt att SSL inte behövs. Dock är det trasigt tack vare attacker som Breach, Beast och Crime.
Men visst det är bättre än inget.
Tro?
Det kallas fakta, http://www.eweek.com/security/java-primary-ca...
Uppfattar du det så får du nog tänka igenom vad jag skrev en gång till: Jag frågade retoriskt om du litar på ALLA i kedjan. För att svara nej på den frågan krävs bara att det finns NÅGON du inte litar på, eller hur? Det betyder INTE att du misstror ALLA, utan att det finns NÅGON du inte kan lita helt på. (NÅGON != ALLA)
Uppfattar du det så får du nog tänka igenom vad jag skrev en gång till: Jag frågade retoriskt om du litar på ALLA i kedjan. För att svara nej på den frågan krävs bara att det finns NÅGON du inte litar på, eller hur? Det betyder INTE att du misstror ALLA, utan att det finns NÅGON du inte kan lita helt på. (NÅGON != ALLA)
Jag behöver inte tänka utan jag läser det du skriver. Du skrev ordagrant "Gör en tracetorute så får du se om du vill lita på varje del i den kedjan, t.ex. varje anställd hos (t.ex.) random ISP."
Nej, jag behöver absolut inte lita på varenda person som jobbar på ett företag i kedjan. Det är det du inte förstår.
Eftersom du inte ens svarade på det sista så kan vi nog avsluta detta här.
Såg förresten att min teori bekräftades. Handlar det inte om Apple så är det inte lika intressant att skriva om.
Som t.ex. att GnuTLS hade en liknande bugg sedan 2005 (!).
Det i sin tur påverkar i princip samtliga Linux-användare...