Пользователи keychain для OSX могут скомпрометировать свои пароли

По сообщению CSOonline, злоумышленники с легкостью могут эмитировать действия пользователя по вводу паролей хранимых в системе, тем самым похищая пароли незаметно для пользователя.

На сегодняшний день Apple не выпустила обновления, устраняющего эту уязвимость. Предположительно данная уязвимость может также эксплуатироваться на IOS устройствах.

Источник: Researchers discover new keychain vulnerability in OSX

Пользователи MACBOOK, IPAD, IPHONE И ANDROID были беззащитны перед атаками

Группа экспертов по информационной безопасности, с участием корпорации Microsoft, обнаружила уязвимость, позволяющую хакерам взламывать сайты и расшифровывать данные, работающие между этими веб-сайтами, мобильными устройствами на платформах Apple iOS, Google Android и компьютерами на базе Apple OS X.

Как заявил изданию Ars Technica Мэттью Грин (Matthew Green), криптограф, научный сотрудник Университета Джона Хопкинса, уязвимы все устройства на Android, iOS и OS X. При этом проблема не касается устройств на базе Windows и Linux.

Из российских сайтов в этот список попали vesti.ru, alfabank.ru, labirint.ru, subscribe.ru, artlebedev.ru и др. Из американских — americanexpress.com, bloomberg.com, businessinsider.com, nsa.gov, fbi.gov, connect.facebook.net и др.

Уязвимость в технологии шифрования трафика SSL/TLS существует более 10 лет, и до сих пор не была замечена. Все это время миллионы пользователей оставались беззащитны к действиям хакеров.
Обнаруженная уязвимость, получившая кодовое имя FREAK и стандартную маркировку CVE-2015-0204, позволяет хакерам вставлять пакеты в трафик, заставляющие источник трафика понижать уровень шифрования данных путем перехода на 512-битный ключ. После этого хакеры, перехватывая трафик, могут расшифровать его, воспользовавшись мощностями облачных провайдеров, например Amazon (Amazon Web Services).