Apple rilascia iOS 7.1.1 e protegge Airport Extreme (2013) da Heartbleed

Apple rilascia iOS 7.1.1 e protegge Airport Extreme (2013) da Heartbleed

È adesso disponibile al download iOS 7.1.1, aggiornamento che presenta solamente alcune migliorie minori a Touch ID e alla tastiera. Nel corso della giornata, Apple ha pubblicato un fix anche per Airport Extreme (2013) e per la Time Capsule, nel tentativo di rendere inefficace il bug Heartbleed

di pubblicata il , alle 11:01 nel canale Apple
AppleiOS
 

iOS 7.1.1 è disponibile per tutti i dispositivi mobile Apple compatibili. L'aggiornamento introduce migliorie di minore entità a Touch ID e alle tastiere e contiene "miglioramenti generici, bug fix e aggiornamenti di sicurezza". Nel corso della stessa giornata la Mela ha rilasciato un fix per correggere una specifica vulnerabilità nel protocollo OpenSSL su AirPort Extreme (2013) e Time Capsule che avrebbe permesso l'esecuzione di Heartbleed.

Apple iOS 7

Fra le novità principali della nuova versione di iOS 7.1.1, Apple cita una migliore efficacia del sensore biometrico per la scansione delle impronte digitali di iPhone 5S, una caratteristica in continua evoluzione da quando il dispositivo è stato rilasciato lo scorso anno. L'aggiornamento corregge anche un bug che si verifica con il pairing di una tastiera Bluetooth con VoiceOver attivo.

iOS 7.1.1 segue il rilascio di iOS 7.1 avvenuto nel mese di marzo, aggiornamento decisamente più corposo che ha corretto una serie di bug della precedente versione, oltre ad aver introdotto una serie di dettagli grafici volti a rendere l'interfaccia più coerente fra le varie parti delle schermate e delle applicazioni.

Martedì Apple ha anche rilasciato un fix che corregge alcuni problemi di sicurezza relativi ai protocolli SSL/TLS su AirPort Extreme (2013) e sulle Time Capsule che supportano lo standard Wi-Fi 802.11ac. La società aveva precedentemente riportato che nessuno dei software, sistemi operativi, siti o servizi web fosse vulnerabile al bug Heartbleed, con un'eccezione.

Apple AirPort famiglia

L'aggiornamento software porta la versione del firmware di Airport Extreme (2013) e Time Capsule alla 7.7.3, mentre non è necessario effettuare l'upgrade su altri prodotti delle rispettive famiglie, così come su AirPort Express 2013. Apple non cita direttamente Heartbleed o il bug al protocollo OpenSSL nelle release note della patch.

"Un problema di lettura out-of-bounds era presente nella libreria OpenSSL quando gestiva pacchetti di estensione TLS", si legge nelle note di rilascio del fix per i prodotti della Mela. "Un utente malintenzionato con determinati privilegi di rete avrebbe potuto ottenere informazioni dalla cache della memoria. Il problema è stato sistemato attraverso controlli aggiuntivi dei bounds. Solamente AirPort Extreme e le base station AirPort Time Capsule con supporto a Wi-Fi 802.11ac sono vulnerabili, e solamente con le opzioni Back To My Mac o Send Diagnostics abilitate. Le altre base station AirPort non sono interessate da questo problema".

Nel corso della giornata sono stati rilasciati aggiornamenti di Pages, Numbers e Keynote, ed è probabile che questi siano legati con i fix software delle base station di Apple. La falla di sicurezza, che ha soprattutto colpito siti e servizi web, ha obbligato a milioni di utenti a modificare le proprie password personali, dal momento che non è possibile verificare lo stato di compromissione dei propri sistemi.

OpenSSL è una tecnologia utilizzata per rendere sicure le comunicazioni fra dispositivi e servizi web, ma grazie alla falla è stato possibile (per due anni) recuperare informazioni non protette da crittografia dal sito ricevente. In questo modo, sarebbe stato possibile per l'utente malintenzionato ottenere informazioni sensibili, come credenziali degli utenti, password ed altri dati. Molti siti web hanno approntato cambiamenti repentini, tuttavia non ci sono prove che il bug sia stato sfruttato nel corso dei due anni in cui "giaceva indisturbato".

Oltre ai servizi web, sono stati trovati parecchi dispositivi vulnerabili alle falle di sicurezza di alcune versioni di OpenSSL, come HTC One e alcuni router Cisco, fra i tanti. Anche i Mac potrebbero essere vulnerabili se l'utente installa in proprio versioni di OpenSSL più moderne e meno efficaci contro la falla di sicurezza.

Maggiori informazioni sul fix di AirPort Extreme e sulle Time Capsule con supporto a Wi-Fi 802.11ac possono essere trovate in questa pagina.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Dadopap04 Maggio 2014, 12:35 #1

Chiarimenti

Vorrei rispondere al commento precedente che mostra direi profonda ignoranza riguardo alla conoscenza del bug di heartbleed o piu' in generale della crittografia (e non "criptazione"

commento al punto 3):
HEartbleed e' un BUG non un errore di design del protocollo o di matematica nella cifratura, altrimenti ci sarebbero voluti ANNI per sviluppare una soluzione alternativa, e non un giorno come invece e' successo.

Vorrei inoltre aggiungere che la cifratura (di nuovo non "criptazione" non e' mai stata lineare fin dall'inizio (altrimenti invertirla sarebbe triviale). Un paio di esempi:

RSA (su cui si basano forse il 60% delle comunicazioni) utilizza la matematica dei residui con basi di numeri primi.
AES utilizza campi di galois con polinomi di ottavo grado (che certamente lineari non sono)

Detto questo un ultima osservazione: purtroppo e' normale che aziende ci mettano tanto a coprire queste falle perche' il meccanismo decisionale e' purtroppo lungo, questo sicuramente si potrebbe migliorare.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^