В пятницу Apple по-тихому выпустила обновление системы безопасности iOS, восстанавливающее процедуру проверки сертификата, которая отсутствовала в операционной системе на протяжении неопределенного промежутка времени.

Apple выпустила iOS 7.06 в пятницу, и единственным содержимым обновления было маленькое исправление системы безопасности, нацеленное, по сообщению компании, на проблему с процедурой, которой iOS выполняет проверку сертификата при установке защищенного соединения.

«Защищенный протокол не был способен определить аутентичность соединения. Эта проблема была исправлена путем восстановления недостающих шагов процедуры проверки», — написано в сообщении Apple.

В описании использована интересная формулировка, подразумевающая, что действующая процедура проверки в какой-то момент была в iOS, но впоследствии была как-то удалена. Эффект эксплойта против этой уязвимости заключался бы в возможности для злоумышленника встать в позицию «человека посередине» в сети жертвы и предположительно начать перехватывать данные защищенных соединений. Не совсем ясно, когда компании стало известно об уязвимости, но запись CVE для этого бага появилась 8 января.

«Злоумышленник, вставший в привилегированную позицию в сети, может перехватывать или модифицировать данные сессий, защищенных SSL/TLS», — сообщила Apple.

Проверка сертификатов — ключевой этап при установке защищенных соединений, так как злоумышленники часто используют методы подмены сертификатов для ценных сайтов, таких как Google или Yahoo!, в надежде перехватить конфиденциальные данные пользователей, например идентификаторы и пароли. Если клиент не сможет проверить, что сертификат валиден и выдан правильному сайту, безопасности соединения нельзя будет доверять.

Категории: Уязвимости