Artikel top billede

Apple lukker huller i OS X efter certifikattyveri

Apple, Microsoft, Google og Mozilla har nu lukket hullerne i deres desktopprodukter efter hackerangrebet mod DigiNotar, men flere mobile styresystemer er stadig pivåbne.

Læs også: Microsoft sikrer mod trussel fra falske certifikater

Computerworld News Service: Apple udruller nu en sikkerhedsopdatering til OS X, der skal lukke hullet efter certifikattyveriet fra DigiNotar. DigiNotar bliver fjernet fra listen over rodcertifikater, der er tillid til.

"Der er blevet udgivet falske certifikater af adskillige certifikatleverandører drevet af DigiNotar. Vi løses dette problem ved at fjerne DigiNotar fra listen over rodcertifikater, der er tillid til, fra listen over certifikatleverandører af Extended Validation (EV) og ved at konfigurere systemets standardindstillinger for tillid, sådan at der ikke er tillid til DigiNotars certifikater heriblandt de, der er udstedt af andre certifikatmyndigheder," skriver Apple om sikkerhedsopdateringen 2011-005.

Denne sikkerhedsopdatering er tilgængelig til Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.1 og Lion Server 10.7.1. Apples rettelse kommer efter tilbagekaldelsen af DigiNotar som SSL-certifikatleverandør (secure sockets layer) af Microsoft mandag og af Google og Mozilla tidligere på måneden.

"For at beskytte vores kunders sikkerhed hverken afslører, diskuterer eller bekræfter Apple sikkerhedshuller, før der er gennemført en komplet undersøge og eventuelle rettelser eller udgivelser er tilgængelige," tilføjer Apple på websiden med detaljer om sikkerhedsopdateringen. Den meddelelse er standard i Apples information om sikkerhedsopdateringer.

"Det er foruroligende, at Apple ikke oplyser om sikkerhedsproblemer," mener Roel Schouwenberg, der er sikkerhedsanalytiker hos Kaspersky. Apple holder brugerne uvidende om problemerne, indtil der foreligger en rettelse. "Det er virkelig gammeldags," mener han. Apple er "afgjort sent ude" med denne sikkerhedsopdatering, påpeger han.

"Vi ved desuden stadig ikke, hvad der sker med iOS," tilføjer Schouwenberg. Det står stadig ikke klart, om Apple vil tilbagekalde certifikaterne på iPhone og iPad. Det samme gælder for Googles Android. Det er ifølge Schouwenberg "meget mærkeligt."

Han påpeger, at smartphones grundlæggende er computere og at de fleste virksomheder anvender telefonerne til håndteringen af e-mail.

"Hvis de ikke udgiver sikkerhedsopdateringer til deres mobiltelefoner, så bør denne beslutningen bestemt begrundes," fremhæver Schouwenberg.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere