De som använder Safari på Mac OS X är fortfarande sårbar för att "man-in-the-middle" attacker med bedrägliga säkerhetscertifikat att hackare genereras från holländska certifikatutfärdare DigiNotar. Problemet ligger i hur Mac OS X hanterar en ny typ av certifikat som kallas Extended Validation eller EV-certifikat. Lyckligtvis finns det dock en relativt enkel fix.
DigiNotar hade blivit hackad tidigare i veckan för att generera hundratals falska säkerhetscertifikat för många webbplatser, inklusive Google, Yahoo och andra. En iransk hacker tycks ha använt certifikat för google.com för att spionera på Iraninan Gmail-användarnas konversationer.
Microsoft och Google återkallade förtroende för certifikat utfärdade av DigiNotar och Mozilla utfärdade patchar för Firefox och Thunderbird för att inte längre litar på intyg från bolaget. Dessa förändringar innebar att Chrome, Internet Explorer och Firefox-användare inte längre skulle acceptera säkra HTTPS-anslutningar från webbplatser som använder DigiNotar utfärdat certs.
Apple har ännu inte ge en patch för Safari-webbläsare eller Mac OS X, så att användarna fick höra att använda nyckelring för att markera något certs utfärdas av DigiNotar som "Lita aldrig på." Tyvärr, enligt utvecklare Ryan Sleevi kommer Mac OS X ändå acceptera nyare Extended Validation certs-används för att förhindra nätfiske, även från myndigheter som är markerade som otillförlitliga.
"När Apple tycker att du tittar på en EV-Cert, de kollar saker annorlunda", Sleevi berättade Computerworld. "De åsidosätta några av dina inställningar och helt bortse från dem."
Säkerhet experter, däribland WhiteHat säkerhet CTO Jeremiah Grossman, anser felet "oroande". Eftersom Apple brukar inte släppa någon information om webbläsare osäkerhet tills det släpper de relevanta patchar, kunde användare potentiellt utsättas för ytterligare bedrifter under tiden.
Det finns fortfarande en relativt enkel fix på problemet tills Apple frågor en patch till Mac OS X, dock. Använda Nyckelhanterare kan användare helt enkelt ta bort något DigiNotar certs från nyckelring istället för att markera dem "opålitliga". Eftersom myndigheten redan återkallat alla bedrägliga certs, kommer de inte längre validera när Safari eller andra Mac OS X-program stöter på dem igen.
Läs kommentarer till detta inlägg
Inga kommentarer:
Skicka en kommentar