Apple ha liberado hoy actualizaciones para diversos productos, como iOS, OS X, Apple TV y Time Capsule. Este último en realidad ha sido para corregir el fallo en OpenSSL conocido como Heartbleed, y el resto aparentemente ha sido, además de para mejoras de rendimiento y otros fallos, para corregir un fallo criptográfico en el protocolo HTTPS.
El fallo permitía a un hacker saltarse la protección del protocolo en las conexiones seguras y que evita que haya terceros escuchando la conexión. Este fallo explota una vulnerabilidad en la autenticación por triple handshake, estableciendo dos conexiones distintas con las mismas claves de encriptación y handshake.
Aunque en el caso de Heartbleed la compañía se ha visto poco afectada (no usa las librerías de OpenSSL en sus productos y servicios importantes), hace tres meses también sufrió otro fallo en la encriptación de HTTPS que la convertía en inservible en la práctica. Motivado por un error humano, pero que se ha convertido en su fallo de seguridad más grave de su historia.
Vía: Ars Technica.
