Coloro che utilizzano Safari su Mac OS X sono ancora vulnerabili a "man-in-the-middle" attacchi utilizzando i certificati di protezione fraudolenti che gli hacker generato da DigiNotar olandese autorità di certificazione. Il problema risiede nel modo in cui Mac OS X gestisce un nuovo tipo di certificato denominato Extended Validation, o certificati EV. Fortunatamente, però, c'è una soluzione relativamente semplice.
DigiNotar era stato violato all'inizio di questa settimana al fine di generare centinaia di falsi certificati di sicurezza per i numerosi siti web, tra cui Google, Yahoo e altri. Un hacker iraniano sembra essere utilizzati i certificati per google.com per spiare le conversazioni Iraninan utenti Gmail '.
Microsoft e Google revocato la fiducia nei certificati emessi da DigiNotar, e Mozilla rilasciata patch per Firefox e Thunderbird a non fidarsi più dei certificati da parte della società. Questi cambiamenti significava che Chrome, Internet Explorer e gli utenti di Firefox non sarebbero più accettare connessioni sicure HTTPS da siti utilizzando DigiNotar emesso certs.
Apple ha ancora fornire una patch per il suo browser Safari o Mac OS X, quindi gli utenti hanno detto di utilizzare il portachiavi per contrassegnare ogni certs rilasciata da DigiNotar come "Mai fidarsi." Purtroppo, secondo sviluppatore Ryan Sleevi, Mac OS X ancora possibile accettare la nuova Extended Validation certs utilizzate per aiutare a prevenire gli attacchi di phishing, anche da parte delle autorità che sono contrassegnati come non attendibili.
"Quando Apple pensa che stai guardando un Cert EV, controllano le cose diversamente", ha detto Sleevi Computerworld. "Hanno sovrascrivere alcune impostazioni e completamente li ignorano."
Gli esperti di sicurezza, tra cui WhiteHat Security CTO Jeremiah Grossman, si consideri la falla "preoccupanti". Dal momento che Apple tende a non rilasciare alcuna informazione insicurezza del browser fino a che non rilascia le relative patch, gli utenti potrebbero essere esposti a ulteriori exploit nel frattempo.
C'è ancora una difficoltà relativamente semplice per il problema fino a quando Apple rilascia una patch per Mac OS X, tuttavia. Utilizzando Accesso Portachiavi, gli utenti possono semplicemente cancellare i certs DigiNotar dal portachiavi, invece di segnare loro "non attendibile". Dal momento che l'autorità ha già revocato tutte le fraudolente certs, non avranno più la convalida quando Safari o altri programmi per Mac OS X, incontro di nuovo.
Leggi i commenti a questo articolo
Nessun commento:
Posta un commento