Daniel Hruska Ftit jiem ilu, Apple ħarġet il-mija Aġġornament tal-iOS 7.0.6, dwar ir-rilaxx li aħna infurmawkom. Ħafna setgħu kienu sorpriżi li l-aġġornament kien rilaxxat ukoll għal iOS 6 anzjani (verżjoni 6.1.6) u Apple TV (verżjoni 6.0.2). Din hija garża tas-sigurtà, u għalhekk Apple ma setgħetx taġġorna biss porzjon tal-apparat tagħha. Barra minn hekk, din il-kwistjoni taffettwa wkoll OS X. Skond il-kelliem ta 'Apple Trudy Muller, aġġornament OS X se jiġi rilaxxat kemm jista' jkun malajr.
Għaliex hemm tant hype madwar dan l-aġġornament? Difett fil-kodiċi tas-sistema jippermetti li l-verifika tas-server tiġi evitata fuq trasmissjoni sigura fis-saff relazzjonali tal-mudell ta 'referenza ISO/OSI. Speċifikament, it-tort huwa implimentazzjoni ħażina SSL fil-parti fejn isseħħ il-verifika taċ-ċertifikat tas-server. Qabel ma nidħol fi spjegazzjoni ulterjuri, nippreferi niddeskrivi l-kunċetti bażiċi.
SSL (Secure Socket Layer) huwa protokoll użat għal komunikazzjoni sigura. Jikseb is-sigurtà permezz ta' encryption u awtentikazzjoni tal-partijiet li jikkomunikaw. L-awtentikazzjoni hija l-verifika tal-identità ppreżentata. Fil-ħajja reali, pereżempju, tgħid ismek (l-identità) u turi l-ID tiegħek sabiex il-persuna l-oħra tkun tista’ tivverifikaha (awtentika). L-awtentikazzjoni mbagħad tinqasam f’verifika, li hija biss eżempju b’karta tal-identità nazzjonali, jew identifikazzjoni, meta l-persuna inkwistjoni tkun tista’ tiddetermina l-identità tiegħek mingħajr ma int tippreżentaha minn qabel.
Issa nixtieq nasal fil-qosor għaċ-ċertifikat tas-server. Fil-ħajja reali, iċ-ċertifikat tiegħek jista' jkun, pereżempju, karta tal-identità. Kollox huwa bbażat fuq kriptografija asimmetrika, fejn kull suġġett għandu żewġ ċwievet - privati u pubbliċi. Is-sbuħija kollha tinsab fil-fatt li l-messaġġ jista 'jiġi encrypted biċ-ċavetta pubblika u decrypted biċ-ċavetta privata. Dan ifisser li l-proprjetarju taċ-ċavetta privata biss jista' jiddekofra l-messaġġ. Fl-istess ħin, m'hemmx għalfejn tinkwieta dwar it-trasferiment taċ-ċavetta sigrieta għaż-żewġ partijiet li jikkomunikaw. Iċ-ċertifikat imbagħad ikun iċ-ċavetta pubblika tas-suġġett supplimentat bl-informazzjoni tiegħu u ffirmat mill-awtorità taċ-ċertifikazzjoni. Fir-Repubblika Ċeka, waħda mill-awtoritajiet taċ-ċertifikazzjoni hija, pereżempju, Česká Pošta. Grazzi għaċ-ċertifikat, l-iPhone jista 'jivverifika li verament qed jikkomunika mas-server mogħti.
SSL juża encryption asimmetriku meta jistabbilixxi konnessjoni, l-hekk imsejħa SSL handshake. F'dan l-istadju, l-iPhone tiegħek jivverifika li qed jikkomunika mas-server mogħti, u fl-istess ħin, bl-għajnuna ta 'kodifikazzjoni asimmetrika, tiġi stabbilita ċavetta simmetrika, li se tintuża għall-komunikazzjoni sussegwenti kollha. Encryption simetriku huwa aktar mgħaġġel. Kif diġà miktub, l-iżball diġà jseħħ waqt il-verifika tas-server. Ejja nagħtu ħarsa lejn il-kodiċi li jikkawża din il-vulnerabbiltà tas-sistema.
static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa,
SSLBuffer signedParams, uint8_t *signature, UInt16 signatureLen)
{
OSStatus err;
…
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
…
fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;
}
Fit-tieni kundizzjoni if tista 'tara żewġ kmandi hawn taħt goto ifalli;. U dan huwa l-ostaklu. Dan il-kodiċi mbagħad jikkawża li t-tieni kmand jiġi esegwit fl-istadju meta ċ-ċertifikat għandu jiġi vverifikat goto ifalli;. Dan jikkawża li t-tielet kundizzjoni tinqabeż if u ma jkun hemm l-ebda verifika tas-server.
L-implikazzjonijiet huma li kull min għandu għarfien ta 'din il-vulnerabbiltà jista' joffri l-iPhone tiegħek ċertifikat falz. Inti jew iPhone tiegħek, inti ser taħseb li qed tikkomunika kkodifikat, filwaqt li hemm attakkant bejnek u s-server. Tali attakk jissejjaħ attakk man-in-the-nofs, li bejn wieħed u ieħor jittraduċi għaċ-Ċek bħala attakk man-in-the-nofs jew bniedem fost. Attakk li juża dan id-difett partikolari f'OS X u iOS jista' jitwettaq biss jekk l-attakkant u l-vittma jkunu fuq l-istess netwerk. Għalhekk, huwa aħjar li tevita netwerks Wi-Fi pubbliċi jekk ma aġġornajtx l-iOS tiegħek. L-utenti tal-Mac xorta għandhom joqogħdu attenti dwar liema netwerks jgħaqqdu u liema siti jżuru fuq dawk in-netwerks.
Huwa bla twemmin kif żball fatali bħal dan seta 'għamilha fil-verżjonijiet finali ta' OS X u iOS. Seta 'kien ittestjar inkonsistenti ta' kodiċi miktub ħażin. Dan ikun ifisser li kemm il-programmatur kif ukoll dawk li jittestjaw jagħmlu żbalji. Dan jista 'jidher improbabbli għal Apple, u għalhekk l-ispekulazzjonijiet joħorġu li dan il-bug huwa fil-fatt backdoor, l-hekk imsejjaħ. bieb ta 'wara. Mhux ta’ b’xejn li jgħidu li l-aqwa backdoors jidhru qishom żbalji sottili. Madankollu, dawn huma biss teoriji mhux ikkonfermati, għalhekk se nassumu li xi ħadd sempliċement għamel żball.
Jekk m'intix ċert jekk is-sistema jew il-browser tiegħek humiex immuni għal dan il-bug, żur il-paġna gotofail.com. Kif tistgħu taraw fl-immaġini hawn taħt, Safari 7.0.1 f'OS X Mavericks 10.9.1 fih bug, filwaqt li f'Safari f'iOS 7.0.6 kollox huwa tajjeb.
Attakk PERMEZZ.... Ilni ma kellix daħka daqshekk tajba u qalb!
Kemm jekk - jien personalment nifhem dan bħala messaġġ minn APPLE lill-utenti kollha - kemm jekk kien b'xi mod jew ieħor (u ma naħsibx li aktar mit-2 possibbiltajiet imsemmija tal-okkorrenza ta 'dan l-iżball huma reali), it-tnejn huma mockerja sempliċi ta 'sidien ordinarji ta' affarijiet APPLE!
Grazzi lil Alla kellek raġun.
Jien nemmen li dan huwa żball reali. Nista 'nimmaġina li nħolqot meta tgħaqqad żewġ fergħat fis-sistema ta' verżjonijiet, jekk fergħa waħda kienet linja itwal. Xorta waħda, dan huwa biss każ ieħor li jikkonferma li jġiegħel lill-programmaturi jehmżu anki linja waħda jekk korp fi blokka jagħmel sens.
Grazzi tad-deskrizzjoni dettaljata!
Jiddispjacini talli ktibt barra mid-diskussjoni, imma issa qrajt fuq idnes li l-allegat iPhone akbar ghandu jismu iPhablet :-D Kwazi tlift.. :-D Tislima lil dawk kollha li jħobbu t-tuffieħ
..... Ara naqra, il-kreattività mhix qed tisparixxi bil-mod ..... forsi hija biss papra!
Hi, qed ikollok problemi dwar il-ħajja tal-batterija wara l-aġġornament? Sibt waħda ġdida wara ħafna ilmenti dwar l-iP5, għalhekk għandi batterija ġdida li damet kważi jumejn. Wara l-aġġornament, it-telefon tiegħi miet fi żmien 8 sigħat u ma nużahx ħafna.
Personalment, ma rreġistrajt l-ebda problema bil-flashlight. Iva fil-passat għalkemm, u backup u reinstall nadif ta 'iOS dejjem għen. Nisperaw li jgħinek.
Dan għamilt illum u sfortunatament l-ebda bidla :-/