Manu Pitkänen
25. helmikuuta, 2014 21:46
Apple on paikannut OS X 10.9:ssä olleen haavoittuvuuden, jonka avulla esimerkiksi verkkopankkiin tai muuhun palveluun muodostettua suojattua yhteyttä oli mahdollista salakuunnella ja yhteyden yli siirrettyä tietoa muokata. Haavoittuvuus kävi ilmi viime viikon perjantaina, kun Apple korjasi saman haavoittuvuuden iOS-laitteista. SSL-haavoittuvuus on ollut Applen mobiililaitteissa iOS 6:sta lähtien ja OS X:stä Mavericksin julkaisusta lähtien.
Paikka haavoittuvuuteen löytyy 10.9.2-päivityksestä, joka sisältää paljon muitakin korjauksia Mavericksiin (mm. Mail-sähköpostiohjelman yhteensopivuusongelma Gmailin kanssa). Haavoittuvuus ei koskenut Chrome- tai Firefox-selaimia, joissa käytetään omaa SSL-ratkaisua, mutta jotkin muut sovellukset ovat riippuvaisia Applen SSL/TLS-protokollan toteutuksesta. Tällaisia ovat esimerkiksi Safari, Kalenteri, FaceTime, Keynote, Mail, Twitter, iBooks ja Mac App Storeen kuuluva Software Update -sovellus.
Adam Langley selventää kirjoituksessaan, että Applen kirjoittamasta koodista löytyy kaksi peräkkäistä goto fail -riviä, minkä takia suojatun yhteyden avaimenvaihdon allekirjoitusta ei aina tarkisteta.
Applen julkaiseman päivityksen asentaminen on suositeltavaa. Viestintävirasto suositteli ennen päivityksen julkaisua harkitsemaan Mac OS X 10.9 -käyttöjärjestelmällä salattujen verkkoyhteyksien käyttöä ja suositteli erityisesti yrityksiä harkitsemaan salasanojen vaihtamista.