Эксперт обманул Symantec и заставил отозвать TLS-сертификат

Эксперт обманул Symantec и заставил отозвать TLS-сертификат

Исследователь Ханно Бек (Hanno Böck) заставил Symantec отозвать свои TLS-сертификаты, заявив, что приватные ключи якобы были скомпрометированы. То же самое заявление было сделано относительно сертификатов от Comodo, но компания сумела распознать подвох.

Центры сертификации (CAs) обязаны в течение 24 часов отзывать сертификаты, если приватные ключи были скомпрометированы. Предыдущие исследования Бека показали, что, несмотря на то, что обычно центрам требуется больше 24 часов, в конечном итоге они все же отзывают сертификаты.

Потом Бек решил проверить, убеждаются ли компании в том, что скомпрометированный приватный ключ принадлежит сертификату, прежде чем отозвать его.

Исследователь создал пару тестовых доменов и заказал бесплатные краткосрочные сертификаты для них от Comodo и RapidSSL от Symantec. Затем он создал поддельные приватные ключи для сертификатов и попытался обмануть Symantec и Comodo, заставив отозвать их, ссылаясь на поддельные ключи.

Чтобы увеличить свои шансы на успех, Бек отыскал в интернете приватные ключи, которые были действительно скомпрометированы и, разбавив их поддельными ключами, выложил на Pastebin. После этого он сообщил Comodo и Symantec о «скомпрометированных» ключах и попросил их отозвать сертификаты.

Comodo удалось идентифицировать поддельные ключи, а вот Symantec отрапортовала об отзыве сертификатов, предназначенных для тестовых доменов эксперта.

«Своими тестами я не нанес никому вреда, сертификат был выпущен для моего собственного тестового домена. Но теоретически я мог сделать то же самое с другими сертификатами. Скорее всего, Symantec отозвала бы их, а сайты пострадали» - объясняет Бек.

Исследователь также был недоволен тем фактом, что Symantec не объяснила причин отзыва сертификатов, что затрудняет для владельцев затронутого домена возможность анализировать и делать выводы.

Symantec настаивала на том, что ключи, связанные с сертификатами для Бек, были скомпрометированы, даже после того, как он указал на то, что ключи были поддельные.

«Вряд ли принятое Symantec решение оправдано. Фактически, компания совершила ошибку» - говорит Бек.

После того, как исследователь обнародовал результаты своих тестов, Symantec опубликовала сообщение в блоге, пообещав улучшить обработку запросов на отзыв сертификатов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru