ช่องโหว่ WiFi KRACK ได้รับการแก้ไขสำหรับ iOS แล้วหรือยัง


41

มีช่องโหว่ใหม่ใน WPA2 ที่เรียกว่า KRACK (ย่อมาจาก Key Reinstallation Attack) ดังที่อธิบายไว้ในบทความ The Guardian: ' เครือข่าย WiFi ทั้งหมด' เสี่ยงต่อการแฮ็คผู้เชี่ยวชาญด้านความปลอดภัยได้ค้นพบ '

อ้างอิงจากบทความ:

รายงานระบุว่าช่องโหว่ดังกล่าวส่งผลกระทบต่อระบบปฏิบัติการและอุปกรณ์ต่าง ๆ รวมถึง Android, Linux, Apple , Windows, OpenBSD, MediaTek, Linksys และอื่น ๆ

มีการเผยแพร่ความปลอดภัยสำหรับ iOS ที่แก้ไขสิ่งนี้หรือไม่?


5
ปิดผู้มีสิทธิเลือกตั้ง: คำถามนี้แน่นอนในหัวข้อที่นี่; ถ้าคุณไม่คุ้นเคยกับการทำงานด้านการจัดการช่องโหว่ด้านความปลอดภัยการวิจัยยาก - โดยทั่วไปคุณไม่รู้ว่าคุณไม่รู้อะไร
อัลลัน

5
การอัปเดตเฟิร์มแวร์ AirPort มีความสำคัญเท่ากัน
self.name

คำตอบ:


32

อัปเดต 31 ตุลาคม 2560

Apple ได้เผยแพร่การอัปเดตที่มีการแก้ไขช่องโหว่ KRACK สำหรับ macOS, iOS, tvOS และ watchOS ในการรับอัพเดต:

  • macOS High Sierra 10.13.1 และอัปเดตความปลอดภัยสำหรับ Sierra & El Capitan -
    เปิด App Store และเลือกแท็บอัปเดต
  • iOS 11.1 -
    ไปที่การตั้งค่า> ทั่วไป> อัปเดตซอฟต์แวร์
  • watchOS 4.1 -
    เปิดแอพ Watch บน iPhone ของคุณจากนั้นไปที่ General> Software Update
  • tvOS 11.1 -
    สำหรับ Apple TV 4 (และ 4K) ไปที่การตั้งค่า> ระบบ> การอัปเดตซอฟต์แวร์และเลือกอัปเดตซอฟต์แวร์
    สำหรับ Apple TV (รุ่นที่ 2/3) ให้ไปที่การตั้งค่า> ทั่วไป> อัปเดตซอฟต์แวร์

เป็นนโยบายของ Apple ที่จะไม่แสดงความคิดเห็นเกี่ยวกับจุดอ่อนด้านความปลอดภัยจนกว่าจะได้รับการติดตั้งและแม้ว่าพวกเขาจะทำก็ตามพวกเขามักจะคลุมเครือเกี่ยวกับเรื่องนี้

เกี่ยวกับการอัปเดตความปลอดภัยของ Apple

เพื่อการคุ้มครองลูกค้าของเรา Apple จะไม่เปิดเผยอภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสอบสวนเกิดขึ้นและมีการแก้ไขหรือวางจำหน่าย รุ่นล่าสุดแสดงอยู่ใน หน้าอัปเดตความปลอดภัยของ Apple

อย่างไรก็ตามด้วยงานนักสืบเล็ก ๆ น้อย ๆ เราสามารถรับข้อมูลเชิงลึกบางอย่าง กำลังมองหาที่CVEs มอบหมายให้ช่องโหว่นี้โดยเฉพาะอย่างยิ่ง , *เราจะได้รับรายชื่อของปัญหาที่ควรได้รับการแก้ไขโดยแอปเปิ้ลเมื่อพวกเขาตัดสินใจที่จะออกแพทช์การรักษาความปลอดภัย:

  • CVE-2017-13077: การติดตั้งคีย์การเข้ารหัสคู่ (PTK-TK) อีกครั้งในการจับมือแบบ 4 ทิศทาง
  • CVE-2017-13078: การติดตั้งคีย์กลุ่ม (GTK) ใหม่ในการจับมือ 4 ทิศทาง
  • CVE-2017-13079: การติดตั้งคีย์กลุ่มความสมบูรณ์ (IGTK) ในการจับมือ 4 ทิศทาง
  • CVE-2017-13080: การติดตั้งคีย์กลุ่ม (GTK) ใหม่ในการจับมือคีย์กลุ่ม
  • CVE-2017-13081: การติดตั้งคีย์กลุ่มความสมบูรณ์ (IGTK) อีกครั้งในการจับมือคีย์กลุ่ม
  • CVE-2017-13082: การยอมรับการเปลี่ยนการเชื่อมต่ออย่างรวดเร็ว BSS (FT) การส่งคำร้องขอใหม่และติดตั้งคีย์การเข้ารหัสคู่ (PTK-TK) ในขณะที่ทำการประมวลผล
  • CVE-2017-13084: การติดตั้งคีย์ STK ใหม่ในการจับมือ PeerKey
  • CVE-2017-13086: การติดตั้งคีย์ Tunered Direct-Link Setup (TDLS) PeerKey (TPK) ใหม่ในการจับมือ TDLS
  • CVE-2017-13087: การติดตั้งคีย์กลุ่ม (GTK) อีกครั้งเมื่อประมวลผลเฟรมการตอบสนองโหมดเครือข่ายไร้สาย (WNM) การตอบสนองของโหมดสลีป
  • CVE-2017-13088: การติดตั้งคีย์กลุ่มความสมบูรณ์ (IGTK) อีกครั้งเมื่อประมวลผลเฟรมการตอบสนองโหมดการจัดการเครือข่ายไร้สาย (WNM)

นอกจากนี้บทความ ZDNet - นี่คือแพทช์สำหรับ KRACK Wi-Fi ทุกช่องโหว่ที่มีอยู่ในขณะนี้ (16 ต.ค. 2017) บ่งชี้ว่าผู้ค้าตอบสนองอย่างรวดเร็วและ Apple ยืนยันว่าแพตช์อยู่ในช่วงเบต้า

Apple ยืนยันว่ามีการแก้ไขในรุ่นเบต้าสำหรับ iOS, MacOS, WatchOS และ TVOS และจะเปิดตัวในการอัปเดตซอฟต์แวร์ในอีกไม่กี่สัปดาห์


* ช่องโหว่และความเสี่ยงทั่วไป (CVE®) เป็นรายการของตัวระบุทั่วไปสำหรับช่องโหว่ความปลอดภัยในโลกไซเบอร์ที่รู้จักกันทั่วไป การใช้ "CVE Identifiers (CVE IDs)" ซึ่งได้รับมอบหมายจาก CVE Numbering Authorities (CNAs) จากทั่วโลกจะสร้างความมั่นใจในหมู่ผู้ใช้เมื่อพูดคุยหรือแบ่งปันข้อมูลเกี่ยวกับช่องโหว่ของซอฟต์แวร์ที่ไม่ซ้ำกันเป็นพื้นฐานสำหรับการประเมินเครื่องมือ และเปิดใช้งานการแลกเปลี่ยนข้อมูลสำหรับระบบรักษาความปลอดภัยอัตโนมัติทางไซเบอร์



2
ฉันอยากทดลองสิ่งนี้ การไม่มีเอกสารของการแก้ไขอาจเป็นหลักฐานการขาดการแก้ไขได้อย่างมีประสิทธิภาพ แต่ Apple อาจจะเล่นเทคนิคทางจิตวิทยากับแครกเกอร์ wannabe เพื่อเบี่ยงเบนความสนใจไปจากปัญหาที่เปิดอยู่ (แน่นอนว่าฉันจะไม่
เปิดเผยสิ่งที่

11

Rene Ritchie, บรรณาธิการของ iMore ที่รายงานว่าช่องโหว่นี้ได้รับการแก้ไขในปัจจุบัน MacOS ทั้งหมด watchOS, tvOS และ iOS เบต้า

บล็อกความปลอดภัยจำนวนมากแนะนำให้ใช้ VPN และไซต์ที่ได้รับการป้องกันด้วย SSL เพื่อป้องกันข้อมูลใด ๆ ที่ส่งผ่าน Wi-Fi

แม้ว่า SSL จะไม่รับประกันความปลอดภัยของข้อมูลจากการโจมตีของ KRACK แต่ก็ทำให้ยากขึ้นอย่างมาก อย่างไรก็ตาม KRACK เข้าถึงได้ลึกพอที่จะเข้าถึงข้อมูลก่อนการเข้ารหัส


2
แต่โปรดอย่าใช้ VPN ที่ฟรีหรือไม่น่าไว้วางใจเพราะมันจะแลกเปลี่ยนกับภัยคุกคามหนึ่งต่ออีกสายพันธุ์หนึ่ง
Steve

1
ใช่. มีการเพิ่มบรรทัด VPN นั้นในเครื่องมือแก้ไขของฉันโดยโพสต์ดั้งเดิม ฉันเองจะไม่ไว้วางใจ VPN ใด ๆ ที่ฉันไม่ได้ทำงานด้วยตัวเองนอกเซิร์ฟเวอร์ของตัวเอง
vykor

ผมไม่เห็นว่ามันไม่ได้แก้ไขของคุณ แต่แค่อยากจะให้แน่ใจว่าฉันเพิ่มบันทึกสำหรับทุกคนที่ผ่านไปมา :)
สตีฟ

1
"อย่างไรก็ตาม KRACK สามารถเข้าถึงข้อมูลได้ลึกพอที่จะเข้าถึงข้อมูลก่อนการเข้ารหัส" อืมมม นี่คือช่องโหว่ในการสื่อสารไร้สาย นี่คือคำตอบของคุณคุณสามารถปฏิเสธการแก้ไขที่คนอื่นทำ
miken32

1
@FyodorGlebov การโจมตีครั้งนี้ขัดต่อลูกค้า เราเตอร์ควรได้รับการอัพเดต แต่ไคลเอนต์เป็นแหล่งของช่องโหว่
dwightk

-2

เมื่อพิจารณาถึงช่องโหว่ได้รับการเผยแพร่เพียง (ในเวลาที่คำถามนี้ถาม) และฉันสงสัยว่ามันถูกส่งไปยังผู้ผลิตรายแรก (เพราะจะยากมากเมื่อพิจารณาจากจำนวนฝ่ายที่ต้องแจ้งเกี่ยวกับเรื่องนี้) - จะใช้เวลาสักครู่สำหรับ Apple รวมการปรับปรุงใหม่สำหรับอุปกรณ์ที่มีอยู่ทั้งหมดและปล่อยมัน

ดังที่เคยเป็นมาก่อนก่อนที่ Apple จะไม่ทำการปะแก้ปัญหาเร่งด่วนของ iOS / Mac OS เพียงช่องโหว่เดียวจึงรวมการแก้ไข / การเปลี่ยนแปลงเข้าด้วยกันในการอัปเดต

นอกจากนี้ยังทำให้การแก้ไขการทดสอบการตรวจสอบการปล่อย ฯลฯ ต้องใช้เวลา ดังนั้นจะไม่ได้รับการแก้ไขในทันที


10
US-CERT ประสานงานการแจ้งเตือนในกรณีเหล่านี้ สำหรับกรณีนี้ผู้ขายจะได้รับแจ้งในเดือนกรกฎาคมและสิงหาคม ( krackattacks.com ) มีเวลาให้ก่อนเปิดเผย ในความเป็นจริง OpenBSD หยุดการห้ามส่งและแก้ไขเร็วเกินไปทำให้เกิดอุบัติเหตุเล็กน้อยกับนักวิจัยดั้งเดิม
vykor

2
“ อย่างที่เคยเป็นมาก่อนที่ Apple จะไม่ทำการปะแก้ปัญหาเร่งด่วนของ iOS / Mac OS เพียงช่องโหว่เดียวเท่านั้น…” Err Apple ได้ปล่อยแพทช์ครั้งเดียวสำหรับ Bash อย่างรวดเร็วนอกช่องทางการอัพเดทปกติและตารางเวลาเมื่อ“ shellshock”ถูกค้นพบ.
JakeGould
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.