На чте­ние: 0.13 mintue

16 октяб­ря ста­ло извест­но о кри­ти­че­ской уяз­ви­мо­сти в про­то­ко­ле без­опас­но­сти WPA2, кото­рый исполь­зу­ет­ся в боль­шин­стве совре­мен­ных устройств с Wi-​Fi. Группа иссле­до­ва­те­лей пока­за­ла, что в защи­щён­ные сети может отно­си­тель­но лег­ко про­ник­нуть зло­умыш­лен­ник, начать пере­хват дан­ных поль­зо­ва­те­ля или их под­ме­ну. Уязвимости под­вер­же­ны все устрой­ства, исполь­зу­ю­щие WPA2, но боль­ше всех под угро­зой нахо­дят­ся вла­дель­цы устройств на Linux и Android, так как их взло­мать про­ще, чем все остальные.

Производители обо­ру­до­ва­ния и тех­но­ло­ги­че­ские ком­па­нии после появ­ле­ния ново­стей об уяз­ви­мо­сти в WPA2 отре­а­ги­ро­ва­ли по-​разному. Например, раз­ра­бот­чи­ки дис­три­бу­ти­ва Linux OpenBSD выпу­сти­ли обнов­ле­ние ещё в июле, узнав о нём зара­нее. Однако о том, что оно свя­за­но с уяз­ви­мо­стью, они умолчали

Эксперты реко­мен­ду­ют поль­зо­ва­те­лям обно­вить про­шив­ки всех устройств, кото­рые под­клю­ча­ют­ся к Wi-​Fi, исполь­зуя WPA2. Но тут есть про­бле­ма: все про­из­во­ди­те­ли по-​разному отнес­лись к фак­ту взло­ма про­то­ко­ла, а мно­гие его вооб­ще как буд­то не заметили.

Apple

В ком­па­нии сооб­щи­ли неко­то­рым жур­на­ли­стам, что уяз­ви­мость уже закры­та в бета-​версиях всех систем ком­па­нии (macOS, iOS, tvOS, watchOS). Однако пока исправ­лен­ные вер­сии доступ­ны толь­ко раз­ра­бот­чи­кам для закры­то­го тести­ро­ва­ния. Публичный выход обнов­ле­ний ожи­да­ет­ся «в тече­ние несколь­ких недель».

Компания не рас­ска­за­ла, будет ли закры­вать уяз­ви­мость в сво­их роу­те­рах Airport Extreme и Express.

Microsoft

В день пуб­ли­ка­ции ново­сти об уяз­ви­мо­сти ком­па­ния заяви­ла, что закры­ла её в Windows послед­ним обнов­ле­ни­ем для вер­сий 7, 8 и 10. Представители Microsoft не пояс­ни­ли, под­вер­же­ны ли уяз­ви­мо­сти более ста­рые вер­сии системы.

В ком­па­нии отме­ти­ли, что даже без обнов­ле­ния про­ве­сти ата­ку на систе­му было бы сложно.

Linux

Патчи с исправ­ле­ни­я­ми уже доступ­ны для мно­гих дис­три­бу­ти­вов ОС, сре­ди них обнов­ле­ния для Ubuntu, Debian и OpenBSD. Разработчики послед­не­го поспе­ши­ли выпу­стить патч ещё в июле 2017 года.

Intel

Компания выпу­сти­ла обнов­ле­ния для Wi-​Fi-​модулей, кото­ры­ми осна­ща­ют нот­бу­ки. Их нуж­но ска­чать на офи­ци­аль­ном сай­те.

Google

ОС Android, поль­зо­ва­те­ли послед­них вер­сий кото­рой наи­бо­лее под­вер­же­ны уяз­ви­мо­сти, полу­чит обнов­ле­ние 6 нояб­ря 2017 года. При этом сто­рон­ние про­из­во­ди­те­ли смарт­фо­нов на Android могут закрыть кри­ти­че­ские уяз­ви­мо­сти в про­шив­ках куда поз­же этой даты, а неко­то­рые ско­рее все­го не закро­ют вовсе.

На момент напи­са­ния этой замет­ки Samsung, HTC, Sony и Huawei никак не отре­а­ги­ро­ва­ли на новость о взло­ме Wi-​Fi стандарта.

Роутеры Google обно­вят­ся авто­ма­ти­че­ски, как толь­ко обнов­ле­ние ста­нет доступ­но. Когда это слу­чит­ся, в ком­па­нии не пояснили.

Другие

Производитель роу­те­ров Netgear при­сту­пил к рабо­те над исправ­ле­ни­я­ми, но финаль­ный релиз пока не готов. Компания Ubiquiti выпу­сти­ла обнов­ле­ние ран­ним утром 16 октяб­ря. Новая вер­сия ПО роу­те­ров Mikrotik вышла в это же вре­мя и тоже содер­жит исправ­ле­ния уяз­ви­мо­стей. Свои вер­сии пат­чей выпу­сти­ли в Aruba, Cisco и FortiNet.

Устройства «интер­не­та вещей» веро­ят­нее все­го либо не обно­вят­ся, либо полу­чат обнов­ле­ния очень неско­ро. У мно­гих из них меха­низм авто­об­нов­ле­ния отсут­ству­ет в прин­ци­пе, поэто­му экс­пер­ты ожи­да­ют, что такие устрой­ства будут мас­со­во оста­вать­ся незащищёнными.


Чтобы избе­жать ата­ки хаке­ров с исполь­зо­ва­ни­ем новой уяз­ви­мо­сти, не обя­за­тель­но обнов­лять все свои устрой­ства. К при­ме­ру, в домаш­ней сети мож­но обно­вить толь­ко роу­тер или толь­ко все устрой­ства, кото­рые к нему под­клю­че­ны. Тем не менее спе­ци­а­ли­сты по инфор­ма­ци­он­ной без­опас­но­сти реко­мен­ду­ют как мож­но рань­ше уста­но­вить все пат­чи, хотя о слу­ча­ях экс­плу­а­та­ции уяз­ви­мо­сти зло­умыш­лен­ни­ка­ми пока не сообщалось.

Источник: TJournal

Televid
Author: Televid