Aqueles que utilizam o Safari no Mac OS X são ainda mais vulneráveis a "man-in-the-middle" ataques usando os certificados de segurança fraudulentos que hackers gerada a partir de certificado de autoridade holandesa DigiNotar. O problema está na maneira como Mac OS X lida com um novo tipo de certificado chamado Extended Validation, ou certificados EV. Felizmente, porém, há uma correção relativamente fácil.
DigiNotar tinha sido cortado no início desta semana, a fim de gerar centenas de certificados de segurança falsos para inúmeros sites, incluindo Google, Yahoo e outros. Um hacker iraniano parece ter usado os certificados para google.com para espionar conversas Iraninan usuários do Gmail.
Microsoft e Google revogada confiar em certificados emitidos por DigiNotar e Mozilla liberou correções para o Firefox eo Thunderbird para não mais confiar em certificados da empresa. Estas mudanças significava que o Chrome, Internet Explorer, Firefox e os usuários não mais aceitar conexões seguras HTTPS de sites usando DigiNotar emitido certs.
A Apple ainda tem que fornecer um patch para o seu browser Safari ou Mac OS X, para que os usuários foram disse para usar o Keychain para marcar qualquer certs emitido por DigiNotar como "Nunca confie." Infelizmente, de acordo com o desenvolvedor Ryan Sleevi, Mac OS X ainda vai aceitar novos Extended Validation certs usado para ajudar a prevenir ataques de phishing-até mesmo de autoridades que são marcados como não confiável.
"Quando a Apple pensa que você está olhando para um Cert EV, eles verificam as coisas de maneira diferente", disse Sleevi Computerworld. "Elas substituem algumas das suas definições e completamente ignorá-las."
Especialistas em segurança, incluindo WhiteHat Security CTO Jeremiah Grossman, considere a falha como "preocupante". Desde que a Apple tende a não divulgar qualquer informação sobre a insegurança browser até que ela libera os patches relevantes, os usuários poderiam ser expostos a explora ainda mais nesse meio tempo.
Há ainda uma correção relativamente simples para o problema até que as questões da Apple um patch para Mac OS X, porém. Usando Keychain Access, os usuários podem simplesmente apagar qualquer certs DigiNotar do Chaveiro em vez de marcá-los "não confiável". Uma vez que a autoridade já revogados todos os certs fraudulentos, eles deixarão de validar quando Safari ou outros programas de Mac OS X encontrá-los novamente.
Leia os comentários deste post
Nenhum comentário:
Postar um comentário