Atualizações lançadas em 31 de outubro de 2017
A Apple lançou atualizações que incluem uma correção para a vulnerabilidade KRACK para macOS, iOS, tvOS e watchOS. Para obter as atualizações:
É política da Apple não comentar sobre vulnerabilidades de segurança até que sejam corrigidas, e mesmo quando o fazem, elas costumam ser vagas.
Sobre as atualizações de segurança da Apple
Para a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação ocorra e que patches ou releases estejam disponíveis. As versões recentes estão listadas na página de atualizações de segurança da
Apple .
No entanto, com um pouco de trabalho de detetive, podemos obter algumas idéias. Observando os CVEs atribuídos a essa vulnerabilidade específica , * podemos obter uma lista dos problemas que devem ser resolvidos pela Apple quando eles decidem emitir um patch de segurança:
- CVE-2017-13077: Reinstalação da chave de criptografia em pares (PTK-TK) no handshake de quatro direções.
- CVE-2017-13078: Reinstalação da chave de grupo (GTK) no handshake de quatro direções.
- CVE-2017-13079: Reinstalação da chave do grupo de integridade (IGTK) no handshake de quatro direções.
- CVE-2017-13080: Reinstalação da chave de grupo (GTK) no handshake da chave de grupo.
- CVE-2017-13081: Reinstalação da chave do grupo de integridade (IGTK) no handshake da chave de grupo.
- CVE-2017-13082: Aceitando uma solicitação de reassociação rápida de transição BSS (FT) retransmitida e reinstalando a chave de criptografia em pares (PTK-TK) durante o processamento.
- CVE-2017-13084: Reinstalação da chave STK no handshake de PeerKey.
- CVE-2017-13086: reinstalação da chave PeerKey (TPK) da Instalação de Link Direto em Túnel (TDLS) no handshake do TDLS.
- CVE-2017-13087: reinstalação da chave de grupo (GTK) ao processar um quadro de resposta do modo de suspensão do gerenciamento de rede sem fio (WNM).
- CVE-2017-13088: reinstalação da chave do grupo de integridade (IGTK) ao processar um quadro de resposta do modo de suspensão do gerenciamento de rede sem fio (WNM).
Além disso, este artigo da ZDNet - Aqui estão todos os patches para a vulnerabilidade do KRACK Wi-Fi disponíveis no momento (16 de outubro de 2017) indicam que os fornecedores estão respondendo rapidamente e a Apple confirmou que os patches estão na versão beta.
A Apple confirmou que possui uma correção na versão beta para iOS, MacOS, WatchOS e TVOS e a lançará em uma atualização de software em algumas semanas.
* Vulnerabilidades e exposições comuns (CVE®) é uma lista de identificadores comuns de vulnerabilidades de segurança cibernética conhecidas publicamente. O uso dos "CVE Identifiers (CVE IDs)", atribuídos pelas CVE Numbering Authority (CNAs) de todo o mundo, garante a confiança entre as partes quando usadas para discutir ou compartilhar informações sobre uma vulnerabilidade de software exclusiva, fornece uma linha de base para avaliação de ferramentas, e permite a troca de dados para automação de segurança cibernética.