Aggiornamenti rilasciati il 31 ottobre 2017
Apple ha rilasciato aggiornamenti che includono una correzione per la vulnerabilità di KRACK per macOS, iOS, tvOS e watchOS. Per ottenere gli aggiornamenti:
È politica di Apple non commentare le vulnerabilità della sicurezza finché non vengono riparate e, anche quando lo fanno, sono spesso piuttosto vaghe al riguardo.
About Apple security updates
For our customers' protection, Apple doesn't disclose, discuss, or
confirm security issues until an investigation has occurred and
patches or releases are available. Recent releases are listed on the
Apple security updates page.
Tuttavia, con un po 'di lavoro investigativo, possiamo ottenere alcune informazioni. Osservando i CVE assegnati a questa particolare vulnerabilità , * possiamo ottenere l'elenco dei problemi che dovrebbe essere indirizzato da Apple quando decidono di emettere una patch di sicurezza:
-
CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
-
CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
-
CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
-
CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
-
CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
-
CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the
pairwise encryption key (PTK-TK) while processing it.
-
CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup
(TDLS) PeerKey (TPK) key in the TDLS handshake.
-
CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
-
CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Inoltre, questo articolo ZDNet - Ecco tutte le patch per la vulnerabilità Wi-Fi KRACK disponibile al momento (16 ottobre 2017) indica che i fornitori stanno rispondendo rapidamente e Apple ha confermato che le patch sono in versione beta.
Apple confirmed it has a fix in beta for iOS, MacOS, WatchOS and TVOS,
and will be rolling it out in a software update in a few weeks.
* Common Vulnerabilities and Exposures (CVE®) è un elenco di identificatori comuni per la sicurezza informatica di dominio pubblico vulnerabilità. L'uso di "identificatori CVE (ID CVE)", che sono assegnati dalle autorità di numerazione CVE di tutto il mondo, garantisce la fiducia tra le parti quando viene utilizzato per discutere o condividere informazioni su una vulnerabilità software unica, fornisce una base per la valutazione degli strumenti, e consente lo scambio di dati per l'automazione della sicurezza informatica.