Intressanta nya kryptobuggar
På senare tid har minst två intressanta kryptobuggar uppdagats. Den första som jag tycker var intressant är den som tyska SEC Consult uppdagade i Outlooks hantering av S/MIME.
The impact is that a supposedly S/MIME encrypted mail can be read without the private keys of the recipient
Denna krypto-bugg som drabbar Outlook har funnits i cirka 6 månader. Och förevisas rätt uppenbart med följande bild:
Den andra intressanta buggen är den som Apple introducerade i samband med att en krypterad disk uppgraderas från HFS+ till APFS eller skapas på nytt via Disk Utility. Där visas ditt riktiga lösenord som lösenordstips istället för själva tipset. Apple var som tur snabba och släppte en uppdatering. Även så passade Apple på att fixa KeyChain sårbarheten jag skrev om för några dagar sedan.
Buggen har CVE-2017-7149 och förevisas här av Matheus Mariano:
Tittar vi på koden så ser det ut att vara ett klassiskt kopiera-och-klistra problem:Bildkälla
Uppdatering: Microsoft har släppt en uppdatering och buggen har fått en CVE: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11776
Tipstack till läsaren Mikael Thurberg.
3 comments