Apple er klar med en stor sikkerhedspakke, der indeholder lapper og løsninger på en længere række sikkerheds-problemer i både iOS 8.4 og OS X 10.10.4 samt ældre udgaver af OS X.
Den store sikkerheds-opdatering til iPhone og iPad indeholder hele 24 rettelser og patches til iOS samt 45 rettelser til OS X.
Blandt de vigtigste elementer i opdateringen er løsningen på et problem med Apples version af EFI (Extensible Firmware Interface), som er et program, der bliver aktiveret, når computeren tændes, hvorefter den afvikler en hardware-test og dernæst loader styresystemet.
Det er imidlertid kommet frem, at det er muligt for hackere at modificere den ellers krypterede EFI-software i en retning, så softwaren eksempelvis begynder at underminere sikkerheds-indstillingerne i styresystemet.
Opdateringen løser også problemer forårsaget af den såkaldte Rowhammer-bug, der har ligget i hardwaren.
Du kan læse mere om Rowhammer her: Hardware-sårbarhed afsløret: Derfor gør ‘rowhammer’ DRAM sårbare.
Apple har løst problemet ved at øge opdaterings-frekvensen i hukommelsen.
Certifikat-problemer
I den lange liste over opgraderinger finder vi også en løsning på et problem, som Google afslørede i marts om håndteringen af udstedelse af certifikater til sikre web-forbindelser.
Google afslørede her, at det kinesiske agentur, der håndterer .cn, CNNIC, ikke fulgte de fastsatte regler. Det gjorde det muligt for tredjeparts-udviklere at danne certifikater, som gjorde det muligt at spoofe alle sikre websites i verden.
CNNIC mistede efterfølgende på vegne af Google og Mozilla sin status som anerkendt certifikat-udsteder af certifikater til Android, Chrome, Firefox og Thunderbird.
Microsoft nøjedes med at fjerne de certifikater, som CNNIC havde udstedt i strid reglerne.
Apple indføjer i sin løsning en ny mekanisme, der filtrerer certifikaterne fra hver udsteder.
Fjerner kæmpe-problem
Apple patcher med kæmpe-opdateringerne også et ret alvorligt sikkerheds-problem, der har gjort det muligt for tredjepart at bryde ind i den ellers krypterede forbindelse mellem eksempelvis mail og websites og her tvinge browseren eller serveren til at downgrade til en uddateret og mindre sikker krypterings-algoritme.
Denne angrebsform har fået navnet ‘Logjam,’ og det er noget, der har bragt flere hundrede millioner computere og telefoner i risikozonen.
Apple løser problemet ved at ændre koden i coreTLS, som står for krypteringen.
Mangler vigtig opdatering
I vrimlen af sikkerhedsopdateringer fra Apple mangler der imidlertid en vigtig – nemlig løsningen på det store sikkerhedshul, der blev opdaget for et par uger siden i App Store.
Det kan du læse mere om her: Alvorligt sikkerhedshul opdaget i OS X og iOS
Du kan se den fulde liste over de udsendte patches og rettelser her:
- iOS 8.4 (24 rettelser og patches)
- OS X (45 rettelser.)
Leave a Reply