Breaking News

Apple macOS และ iOS มีช่องโหว่ในระบบ SSL ถูกทำ Man-in-the-Middle และใช้ DDoS ได้

Maksymilian Arciemowicz นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่บน Apple macOS 10.12.1 และ iOS 10 ว่ามีช่องโหว่ในการทำ SSL Handshake ซึ่งจะนำไปสู่การทำ Man-in-the-Middle และนำไปใช้ทำ DDoS ได้

apple_macos_sierra

ช่องโหว่บนระบบปฏิบัติการทั้งสองนี้คือมีขั้นตอนการทำ OCSP Validation ที่อ่อนแอ และทำให้ผู้โจมตีสามารถส่ง OCSP Request ได้มากถึง 200,000 ครั้งได้จากอุปกรณ์เหล่านี้ในระหว่างที่ทำ Man-in-the-Middle Attack

ระบบ Apple SecureTransport นี้จะเชื่อและตรวจสอบ OCSP URL โดยไม่มีการยืนยัน Certificate หรือ Common Name แต่อย่างใด ทำให้ผู้โจมตีสามารถสร้าง Self-Sign Certificate ที่มีรายการของ OCSP URL จำนวนมหาศาลเพื่อสร้าง Traffic ปริมาณมหาศาลได้ก่อนที่จะแจ้งเตือนผู้ใช้งานเกี่ยวกับ Untrusted Certificate ที่เกิดขึ้นนี้ ทำให้ผู้ใช้งานโจมตีผู้อื่นไปแล้วโดยไม่รู้ตัว

ที่มา: http://www.scmagazine.com/ssl-handshake-weakness-leaves-macos-ios-devices-open-to-mitm-attacks/article/568515/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Data Center ยุค New Normal ควรไปต่อหรือพอแค่นี้ โดย Huawei

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย Huawei Webinar เรื่อง “Data Center ยุค New Normal ควรไปต่อหรือพอแค่นี้” พร้อมเจาะลึกเทคโนโลยีที่จะช่วยแก้ปัญหาและตอบโจทย์ความต้องการด้าน Data Center Networking ได้อย่างมีประสิทธิภาพสูงสุด …

[Video Webinar] เตรียมพร้อมรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วย Cloudflare & OneTrust

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย Cloudflare Webinar เรื่อง “เตรียมพร้อมรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วย Cloudflare & OneTrust” พร้อมแนะนำเครื่องมือและแนวทางปฏิบัติด้านความมั่นคงปลอดภัยให้สอดคล้องกับ พ.ร.บ. ดังกล่าว ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …