那些使用Mac OS X上的Safari 仍然脆弱 “人在这方面的中间人”攻击黑客使用欺诈的安全证书,产生的荷兰证书权威DigiNotar 。问题就出在Mac OS X的方式处理一个新的证书类型,称为扩展验证,或EV证书。然而,幸运的是,有一个相对容易解决。
DigiNotar被黑客入侵了这个星期早些时候,以产生假冒许多网站的安全证书,包括谷歌,雅虎和其他数百。伊朗黑客似乎已经用于google.com证书间谍Iraninan Gmail用户的谈话。
微软和谷歌在所DigiNotar颁发的证书撤销的信任,和Mozilla发布Firefox和Thunderbird的修补程序没有从该公司不再信任证书。这些变化意味着,浏览器,Internet Explorer和Firefox用户将不再接受使用发出证书DigiNotar的网站安全的HTTPS连接。
苹果尚未提供的Safari浏览器或Mac OS X补丁,因此用户被告知使用的钥匙串,以纪念DigiNotar发出的任何证书“,永远不要信任。“不幸的是,根据开发商瑞安Sleevi,Mac OS X将仍然接受新的扩展验证证书的使用,以帮助防止钓鱼攻击,甚至从标记为不可信的机关。
“当苹果公司认为你的EV证书,他们检查不同的事情,”Sleevi告诉“计算机。 “它们将覆盖你的一些设置,完全不顾他们。”
安全专家,包括的WhiteHat Security首席技术官耶利米格罗斯曼,认为该缺陷是“令人不安。”由于苹果公司往往不释放任何关于浏览器不安全的信息,直到发布相关补丁,用户可能会受到进一步的战功在此期间。
仍然是一个相对简单的解决问题,但是,直到苹果Mac OS X的问题补丁,。使用钥匙串访问,用户可以简单地从钥匙串中删除任何DigiNotar证书标记,而不是“不可信任的。”由于当局已撤销所有的欺诈性的证书,他们将不再验证Safari或其他Mac OS X程序时再次遇到他们。
沒有留言:
發佈留言