id: Гость   вход   регистрация
текущее время 16:03 23/10/2018
Владелец: SATtva (создано 23/02/2014 10:17), редакция от 23/02/2014 10:17 (автор: SATtva) Печать
Категории: криптография, софт, протоколы, ошибки и баги, уязвимости, стандарты, свободный софт, ssl, закрытый софт
http://www.pgpru.com/Новости/2014/ЛишнийGotoПоломалSSLTLSВIOS
создать
просмотр
редакции
ссылки

23.02 // Лишний goto поломал SSL/TLS в iOS


Анализ внезапно выпущенного на днях обновления iOS до версии 7.0.6 выявил замечательную ошибку, позволяющую сайту отдавать iOS-устройствам одноразовые ключи, подписи которых вообще не имели отношения к его сертификату. Т.е. приводящей к фактически полной неработоспособности всего механизма SSL/TLS.


Причина ошибки – лишний goto (привет копипасту), который всегда приводил к переходу в конец функции, минуя проверку sslRawVerify.


А вообще, увидев в 21 веке такое количество goto в коде, хочется передать отдельный привет отпраздновавшему на той неделе 80 лет Вирту. Спагетти-код неистребим.


Источник: http://bugtraq.ru/rsn/archive/2014/02/02.html


 
Много комментариев (13) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3