งานเข้าไม่หยุด เมื่อช่องโหว่ SSL ใน OS X มีผลกับ Mail, Twitter, iMessage รวมทั้ง Software Update ด้วย

by Bigta
24 February 2014 - 06:05

จากเหตุการณ์ที่ Apple ใส่โค้ด goto fail; เกินมา 1 บรรทัด จนทำให้เกิดช่องโหว่ในการตรวจสอบใบรับรอง SSL ซึ่งช่องโหว่ที่ว่านี้ถูกแก้ไปแล้วใน iOS 7.0.6 และ 6.1.6 แต่ OS X 10.9.x ยังไม่แก้ ในเบื้องต้นเชื่อกันว่าช่องโหว่นี้มีผลกระทบแค่ Safari ใน OS X แต่ล่าสุดพบว่าช่องโหว่นี้มีผลกระทบกับแอพพลิเคชันอื่นๆ ด้วย

นักวิจัยด้านความมั่นคงปลอดภัยชื่อ Ashkan Soltani ได้ตรวจสอบแอพพลิเคชันใน OS X ที่ใช้ไลบรารี SSL/TLS ของตัวระบบปฏิบัติการ และพบว่าแอพพลิเคชันอย่าง Calendar, Mail, FaceTime, iBooks, Twitter, Keynote รวมถึง Software Update ได้รับผลกระทบจากปัญหาช่องโหว่ดังกล่าวด้วย (@askh4n)

อย่างไรก็ตาม ถึงแม้ว่าแอพพลิเคชัน Software Update จะมีปัญหาช่องโหว่ SSL และ Apple เองก็เผยแพร่แพตช์แก้ไขช่องโหว่ผ่าน SSL ด้วยก็ตาม แต่การโจมตีผ่านช่องทางนี้ก็อาจไม่สามารถทำได้ง่ายนัก เพราะตัว Software Update จะมีการตรวจสอบข้อมูล signature ของตัวแพตช์อีกทีหนึ่งก่อนติดตั้ง

ทาง Apple บอกว่าจะปล่อยแพตช์แก้ไขช่องโหว่ใน OS X ออกมาเร็วๆ นี้ ระหว่างที่รอแพตช์ ใครที่ลงไว้มากกว่าหนึ่ง OS อาจจะต้องสลับไปใช้ OS อื่นชั่วคราว แต่ถ้าจำเป็นต้องใช้ OS X จริงๆ ก็ควรหลีกเลี่ยงการเชื่อมต่อ Wi-Fi สาธารณะหรือ Wi-Fi ที่ไม่น่าเชื่อถือ

ที่มา - Forbes, Reuters

ป.ล. มีคนทำเสื้อ goto fail; ออกมาขายด้วยครับ ;3

Blognone Jobs Premium