Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Apple: IOS7 vulérable aux attaques Man in the middle

23 Février 2014 , Rédigé par nicko

La dernière mise à jour de 35,4 Mo d'Apple iOS 7.0.6 ne semble pas importante au début, mais il contient un correctif de sécurité critique qui corrige un défaut de cryptage SSL.

Apple: IOS7 vulérable aux attaques Man in the middle

Oui, une faille de sécurité très critique qui pourrait permettre à des pirates d'intercepter les courriels et autres communications qui sont destinés à être chiffré dans l'iPhone, iPad et Mac.

 

Apple fournit très peu d'informations lors de la divulgation des questions de sécurité, «Pour la protection de nos clients, Apple s'interdit de divulguer, d'aborder ou de confirmer les problèmes de sécurité tant qu'une enquête approfondie n'a pas été menée et que des correctifs ou mises à jour ne sont disponibles. cela est ecrit dans bulletin de sécurité

Les experts en cryptographie ont immédiatement essayé de comprendre ce qui n'allait pas avec la mise en œuvre d'Apple de Secure Sockets Layer (SSL) et les détails sont les suivants:

 

Impact: La vulnérabilité CVE assigné-2014-1266 et affecte à la fois les systèmes d'exploitation OS X iOS et, décrit comme «sûreté des transports n'a pas valider l'authenticité de la connexion. Cette question a été abordée par la restauration manquantes étapes de validation. en d'autres termes, n'importe qui avec un certificat signé par un "CA de confiance» peut effectuer Man-in-the-middle (MITM) attaque.

 

Donc, si un attaquant a accès au réseau d'un utilisateur mobile, tels que les deux se partagent un même service sans fil, le pirate pourrait intercepter la communication entre l'utilisateur et les sites protégés, tels que Gmail et Facebook.

Plus de détails techniques son
t disponibles ici

Pratiquement: Apple n'a pas précisé quand ni comment il a appris la faiblesse et n'a pas dit si la faille a été exploitée. Mais l'utilisation de tels défauts NSA comme les agences peut pirater tous vos mots de passe et des messages, comme ils l'ont fait avec le plus grand fournisseur de télécommunications de Belgique Belgacom employés par spoofing LinkedIn and Slashdot pages pour les pirater.

Le défaut fondamental réside dans la mise en œuvre de SSL d'Apple, en exploitant un attaquant peut contourner SSL / TLS routines de vérification sur la poignée de main de la connexion initiale à effectuer pleine interception de trafic crypté entre vous et le serveur de destination.

«mécanismes de mise à jour de logiciels qui téléchargent et exécutent du code sans vérification cryptographique signatures du code téléchargé peut être exploitable. Cependant, les mécanismes de mise à jour qui utilisent correctement la vérification de signature des contenus téléchargés sont moins susceptibles d'être exploités par cette vulnérabilité. John Costello, chercheur de sécurité à CrowdStrike a déclaré dans un
billet de blog

Correctif de sécurité: La Société a également publié une mise à jour d'Apple TV et iOS 6.1.6 aujourd'hui pour répondre à la même question. Mettez à jour vos appareils et les systèmes Apple dès que possible pour les dernières versions disponibles.

Pour vérifier, si votre navigateur web (en particulier Safari d'Apple) est vulnérable à SSL
défaut cliquez ici

Pour mettre à jour votre appareil iOS, assurez-vous d'abord que vous êtes sur un ou bureau réseau de confiance chez protégé par mot de passe d'une connexion Wi-Fi gratuite. Si vous êtes sous iOS 7, vous serez invité à installer iOS 7.0.6, si iOS 6, ce sera iOS 6.1.3 Appuyez télécharger et l'installer..

La mise à jour est maintenant disponible pour téléchargement à partir du site web d'Apple

Source: thehackernews

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article