Mac OS X에서 Safari를 사용하고있는 사람들은 여전히 취약 에 "사람이 중간에"라는 허위 보안 인증서를 사용하여 공격 해커 생성 네덜란드 인증 기관 DigiNotar에서. 문제는 맥 OS X는 인증서의 새로운 유형의 확장 유효성 검사하거나, EV 인증서라는 처리하는 방식으로 자리잡고 있습니다. 다행히도, 그러나, 비교적 쉽게 수정이 있습니다.
DigiNotar는 구글, 야후, 등 포함하여 수많은 웹사이트에 대한 가짜 보안 인증서의 수백을 생성하기 위해 이번 주 초에 해킹했다. 이란 해커가 Iraninan Gmail은 사용자의 대화를 염탐하려고 google.com에 대한 인증서를 사용했을 것으로 보인다.
MS와 구글은 DigiNotar에서 발급한 인증서에 대한 신뢰를 박탈하고, 모질라 회사에서 더 이상 신뢰 인증서에 파이어 폭스와 썬더버드에 대한 패치를 발표했다. 이러한 변화는 크롬, Internet Explorer 및 Firefox 사용자가 더 이상 certs를 발급 DigiNotar를 사용하여 사이트에서 보안 HTTPS 연결을 수락하지 않을까하는 의미.
애플은 사파리 브라우저 또는 Mac OS X 용 패치를 제공하기 위해 아직 있으므로 사용자가되었습니다 말씀 으로 DigiNotar 발급한 모든 certs 표시 키체인를 사용하여 "신뢰 적이 없다." 불행하게도, 개발자 라이언 Sleevi에 따르면, Mac OS X은 아직 새로운 확장 유효성 검사 - 공격도 신뢰할 수로 표시됩니다 당국에서 피싱 방지하기 위해 certs - 사용을 받아들일 것입니다.
"애플은 당신이 EV CERT보고 생각하면, 그들은 사물을 다르게 확인"Sleevi은 Computerworld했다. "그들은 설정의 일부를 무시하고 완전히 그들을 무시."
WhiteHat 보안 CTO 제레미아 그로스 맨이 포함한 보안 전문가, 결함 "열세."고려 애플은 관련 패치를 출시하기 전까지 브라우저 불안정에 대한 정보를 공개하지 않는 경향이 있기 때문에, 사용자는 잠재적으로 그 동안에 더욱 공격에 노출 될 수 있습니다.
문제에 상대적으로 간단한 수정 프로그램은 애플이 맥 OS X 문제에 대한 패치를 때까지 남아있다. 키체인 접근을 사용하여 사용자는 간단하게 그들 마킹 대신 키체인로부터 DigiNotar certs를 삭제할 수 있습니다 "신뢰할 수 있습니다." 권한이 이미 모든 사기 certs를 박탈했기 때문에, 그들은 더 이상 Safari 나 다른 맥 OS X 프로그램이 다시 발생할 때 확인하지 않습니다.
댓글 없음:
댓글 쓰기