Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Újjászületett X.509 ellenőrzési probléma iOS-en

2011.07.28. 12:07 | buherator | 2 komment

Az iOS 4.3.5-ös illetve 4.2.10-es verzóiban egy olyan X.509 tanúsítványok kezelésével kapcsolatos problémát javítottak, melynek első változatát kilenc éve az Internet Explorerrel kapcsolatban fedezte fel Moxie Marlinspike. A probléma oka, hogy az operációs rendszer tanúsítványkezelő API-ja nem ellenőrzi a tanúsítványlánc köztes tagjainak ún. Basic Constraintjeit, melyek jelzik, hogy az adott tanúsítvány tulajdonosa rendelkezik-e CA jogkörrel. Ennek következtében ha az attacker.com domain tanúsítványát az iOS számára elismert szervezet, pl. a VeriSign hitelesítette, a domain tulajdonosa kiállíthat tetszőleges domainre, pl. a paypal.com-ra érvényes tanúsítványokat, melyeket a frissítetlen iOS-es eszközök úgy fognak elfogadni, mintha azokat a VeriSign hitelesítette volna.

Címkék: ssl patch ios x.509

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Aron bacsi 2011.07.28. 18:56:19

Hát, igen, egy csecsemőnek minden vicc új! Kripto területen sem árt, ha a fejlesztő nemcsak a programozáshoz ért, hanem ismeri a működés hátterét is, és figyeli, hogy mik történnek a nagyvilágban...

synapse · http://www.synsecblog.com 2011.07.29. 09:54:05

Ez egy valoban hasznos hozzaszolas volt, koszonjuk.