В приложениях для OS X нашли критическую уязвимость
Критическая ошибка при проверке подключений по зашифрованному протоколу SSL, позволявшая злоумышленникам перехватить конфиденциальную информацию, подвергала опасности не только i-устройства.
Как сообщил независимый исследователь Ашкан Солтани, та же уязвимость содержится в приложениях для "настольной" операционной системы OS X: в "Почте", "Календаре", мессенджере iMessage, видеочате FaceTime, "читалке" iBooks, официальном клиенте Twitter и даже в системе автоматического обновления ПО.
По словам Солтани, разработчики этих и многих других приложений для OS X задействовали библиотеку Apple для безопасной передачи данных в Сеть по протоколам шифрования TLS/SSL. Однако, как выяснилось, в коде фреймворка была допущена ошибка, воспользовавшись которой хакер может перехватить или подменить интернет-трафик, встав между клиентом и сервером (атака вида "человек посередине").
Угрозе в том числе подверглось приложение Software Update, отвественное за автоматическую рассылку обновлений на "маки". Следовательно, злоумышленник может отправить на компьютер жертвы фальшивый апдейт OS X, перехватывающий логины/пароли, данные о кредитных картах и личную переписку.
Пока Apple не исправит ошибку, Солтани призвал пользователей избегать ненадежных сетей и браузера Safari, который больше зависит от "эпловской" реализации протоколов TLS/SSL, чем Firefox или Chrome.
Первой уязвимость в SSL-валидации была обнаружена на "айфонах" на прошлой неделе. Сообщество экспертов в области компьютерной безопасности окрестило ее gotofail по той причине, что в коде Apple был неправильно употреблен оператор goto. В прошлую субботу компания подтвердила наличие бага и устранила его, выпустив "заплатку" iOS 7.0.6 (для старых i-устройств — 6.1.6).
