Chyby v softwaru

Chybu SSL v iOS a OS X aktualizuje nová záplata

Týká se verzí: nižší než iOS 7.0.6 a OS X 10.9.2

Apple minulý pátek zveřejnil aktualizaci svého mobilního operačního systému pro své smartphony a tablety iOS 7.0.6. Tento patch záplatuje kritickou chybu v procesu ověřování digitálních certifikátů na iOS, která umožňuje zobrazit data obsahující certifikát podepsaný různými klíči. Jak se potvrdilo, stejnou chybu obsahuje i desktopový operační systém OS X.

Podle testů Apple nejspíše omylem vytvořil bug při editování zdrojového kódu, podle Adama Langleyho z Googlu chybu obsahuje OS X od verze 10.9, iOS měl chybu implementovanou poprvé kolem 6.x. Podle všeho se jedná o problém tzv. mrtvého kódu - tedy části, která se nikdy v programu neprovede.

static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
 uint8_t *signature, UInt16 signatureLen)
{
  OSStatus err;
  ... 
  if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
    goto fail;
  if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
    goto fail; // součástí podmínky
    goto fail; // provede se vždy a tedy "přeskočí" následující funkci
  if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
    goto fail;
 ...
fail:
  SSLFreeBuffer(&signedHashes);
  SSLFreeBuffer(&hashCtx);
  return err;
}

Problém je právě u zvýrazněné dvojice řádků, kdy první je součástí podmínky, zatímco druhý nikoliv. Langley dodává: "Kód vždy z druhého goto skočí na konec, err bude obsahovat hodnotu pro úspěch, protože SHA1 update operace bude úspěšná, takže verifikace podpisu nikdy neselže." 

Langley také připravil testovací web, na kterém můžete zkusit odolnost svého prohlížeče proti této chybě. Kromě Chrome a Firefoxu s technologií NSS většina prohlížečů používá náchylnou technologii SecureTransport. Z našich testů na OS X vyplývá, že právě Firefox a Chrome odolává, například na Safari se problém objevil, stejně tak potom na mobilním iOS. 

Jen používání jiného prohlížeče však mnoho nevyřeší, protože automaticky instalované aktualizace mohou běžet se SecureTransport a mohou tak nainstalovat do systému nepodepsaný obsah. Silně doporučujeme stáhnout nejnovější aktualizaci systému do OS X (10.9.2) a do iOS (7.0.6). Obě jsou nyní k dispozici.

Během března očekáváme další aktualizaci pro iOS, která bude určovat polovinu životního cyklu systému iOS 7. Nový iOS 8 by měl spatřit světlo světa v září tohoto roku.

Novinky a Události

Mt. Gox měl dlouhodobé finanční problémy

Pád bitcoinové banky Mt. Gox, o kterém jsme informovali minulý týden, byl pro mnoho lidí nečekaný a leckdo v něm ztratil mnoho peněz. Jistě je na místě se zabývat bezpečností informačních systému spravujících Bitcoiny, ale podle CNNMoney nebyl hlavní problém v nedostatečném zabezpečení firmy, jako spíše v dlouhodobém vedení a ekonomických procesech.

Podle vlastního vyjádření firma Mt. Gox během roku 2012 vydělala něco přes 380 tisíc dolarů. Rok na to však agenti firmě zabavili 5 miliónů dolarů kvůli obvinění souvisejícím s bankovními dokumenty. Buď musela mít firma obrovský finanční polštář nebo byla v tu chvíli ve velmi nepříjemné situaci. Pokud by člověk věděl tyto informace v roce 2013, ukládání peněz do Mt. Gox by muselo být čiré finančnické bláznovství.

To podtrhuje také fakt, že narozdíl od amerických firem, tokijská Mt. Gox za sebou neměla žádnou finanční rezervu federální banky ani pojištění bankovních účtů. 

Podle investora Nicka Shaleka z Ribbit Capital se dostáváme z éry technologických nadšenců, kteří se nezajímali o ekonomickou stránku věci, do doby seriózních podnikatelů, kteří dokáží zprostředkovat kvalitní služby.

Boeing pracuje na zabezpečeném smartphonu "Black"

Výrobce letadel Boeing se rozhodl přispět do světa mobilních telefonů. Ten z jejich dílen však podle všeho nebude cílit na běžné zákazníky mobilních výrobců, jako spíše na vládní zaměstnance, kteří operují s citlivými informacemi. 

Právní zástupce Boeingu chce držet pod pokličkou i detaily ohledně designu a vybavení smartphonu, čemuž by měla odpovídat i kontrolovaná distribuce do specifických kruhů. Jak obstojí tento přístup v době informačních úniků a do jaké míry to naopak bude pro hackery zajímavé zkoušet, ještě uvidíme.

Mimo podpory dvou SIM karet a LTE sítí by měl mít telefon také Bluetooth a WiFi. Specifická funkce bude pak odolnost proti vniknutí dovnitř (tzv. tamper proof). To znamená, že při pokusu o poškození svrchních obalů dojde k automatickému zničení všech dat na zařízení. Podobnou funkcionalitu nabízí například dnešní zabezpečené flash disky.

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Chyby webů bankovních institucí: Flash a XSS ve vyhledávání

• Chrome dostává bič na adware, vyžene například Ask toolbar

• Obama: v pozměněné formě budeme špehovat dál, jinak to nejde

Díly CDR Security Update SPECIÁL

• Jak jsme přišli o soukromí - IT bezpečnost 2013 - shrnutí a pohled do budoucna

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentizace