Apple publicó el pasado viernes iOS 7.0.6 además de iOS 6.1.6, una actualización de seguridad que “corregía un problema relacionado con la verificación de las conexiones SSL.”. El problema, sin embargo, es más grave que una simple actualización de seguridad y mantenimiento y el problema también afecta a OS X. Según Apple, la vulnerabilidad será solucionada en una actualización que será publicada muy pronto.
El problema de seguridad afecta a las conexiones SSL (Secure Socket Layer) que realizan tanto iOS como OS X, lo que permitiría a un atacante la posibilidad de capturar datos que por otra parte deberían estar protegidos por el propio protocolo. La vulnerabilidad permitiría a un atacante, aprovechando el error en la lógica de identificación tanto en iOS como en OS X, sobrepasar las rutinas de verificación de SSL de forma que podría simular ser un servidor “honesto” y a partir de ese punto interceptar toda la información.
El bug, al que se ha llamado “gotoFail” está provocado por la mala utilización en el código del proceso de verificación de la instrucción goto fail. Se ha publicado un sitio de demostración que testea si el navegador en uso (actualmente Safari 7.0.1 para OS X 10.9 Mavericks) está afectado por el problema: gotofail.com
Mientras que Apple ha publicado sendas actualizaciones para iOS 6 e iOS 7, OS X es vulnerable a estos ataques para todas las aplicaciones que puedan hacer uso de este tipo de conexiones ya que usan una biblioteca SSL comíun dentro del sistema, incluyendo Safari, FaceTime, iMessage, Twitter, Calendar, Keynote, Mail, iBooks, Actualización de Software y más.
Apple por su parte ha prometido una actualización de software “muy pronto” que solucionará el problema. La compañía de Cupertino está actualmente en las últimas fases del desarrollo de OS X 10.9.2 Mavericks por lo que es posible que la actualización se incluya en ésta versión del sistema operativo que se esperaba a primeros de marzo pero que posiblemente adelantará su fecha de lanzamiento. Adicionalmente se esperan actualizaciones de seguridad que solucionen este problema tanto para OS X 10.7 Lion como para OS X 10.8 Mountain Lion.
La recomendación de seguridad es no visitar sitios web poco confiables mientras Apple lanza la correspondiente actualización de seguridad. Otros navegadores, como Chrome para Mac, no están afectados por el problema, pero es conveniente visitar gotofail.com con tu navegador de cabecera para ver si tu navegador está afectado por el problema.
Safari 6.1.1 en Mountain Lion no está afectado por lo menos eso me aparece en la citada web cuando la visito.
¿Es cosa sólo de Mavericks y su versión de Safari?