torsdag 13 oktober 2011

iOS 5 skyddar nu mot DigiNotar, MD5-signerade certs

Intressanta nyheter på url:http://feeds.arstechnica.com/~r/arstechnica/everything/~3/JKHNLV1S2rg/ios-5-protects-against-diginotar-md5-signed-certs.ars:

iOS 5, fortfarande sakta rullar ut till användare efter lanseringen på onsdag, inte bara ger nya funktioner, det innebär också ett antal viktiga säkerhetsfixar för iPhone, iPad och iPod touch-användare. Uppdateringen tar bort förtroendet för all säkerhetscertifikat från hackade certifikatutfärdare DigiNotar, och droppar stöd för incidenthantering med MD5-hashar och uppdateringar TLS till version 1,2 för att förbättra säkerheten för SSL-anslutningar.

Holländska certifikatutfärdare DigiNotar var hackad i juli av en hacker som kallade sig ComodoHacker , som använde DigiNotar servrar för att generera hundratals falska säkerhetscertifikat. Trots att företaget hade trott att det hade tagit bort alla av dem från sina servrar, hamnade bolaget upp saknade minst ett certifikat. Denna särskilda certifikat får hackaren att sätta sina servrar mellan Gmail-användare och Googles Gmail-servrarna för att fånga upp e-post från ett antal iranska medborgare.

När nyheten om hacka spridning, utfärdade Mozilla, Google, Microsoft och andra fläckar som svartlistad alla DigiNotar certs. Effektivt, skulle någon server som använder en cert från DigiNotar inte att lita på. Apple tog nästan två veckor att utfärda en patch för Mac OS X , och det var inte förrän dagens iOS 5 uppdatering som iPhone, iPad och iPod touch-användare fick en liknande patch.

Enligt Apple är DigiNotar frågan "åtgärdas genom att ta bort DigiNotar från listan över betrodda rotcertifikat, från listan över Extended Validation (EV) certifikatutfärdare, och genom att konfigurera standardinställningar systemet förtroende så att DigiNotar dess certifikat, inklusive de som utfärdats av andra myndigheter, är inte betrodd. "

iOS 5 lägger även två ytterligare förbättringar av datasäkerhet. Apple har tagit bort stödet för X.509 certs signerat med MD5-hash-algoritm, som har några kända sårbarheter. Dessutom uppdateras TLS-protokollet till version 1.2, som behandlar en potentiell man-in-the-middle attack när man använder något annat betrodda SSL-anslutningar.

Dessutom innehåller iOS 5 ett antal korrigeringar för buffertspill och andra potentiella bedrifter i libxml, ImageIO, Unicode-stöd, WebKit, och mer. Fullständig information finns publiceras på Apples webbplats .

Läs kommentarer till detta inlägg


Upplagd av Tech News kl. 06:14

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)