Apple, Android laatste zonder DigiNotarpatch - Update
Apple heeft als enige nog geen patch om alle DigiNotar-certificaten uit OS X, iOS of Safari te verbannen. Opera en zelfs Adobe blokkeren nu toch ook. iOS en Android hebben ook nog geen patch.
Apple is nu het laatst overgebleven grote softwarebedrijf dat nog geen patch heeft om DigiNotar-certificaten te blokkeren. Die zijn niet meer te vertrouwen na een cyberinbraak bij het Beverwijkse bedrijf.
Adobe, Opera patchen
Donderdag meldde Webwereld dat Adobe geen patch zou uitbrengen en de zaak 'nog in onderzoek' had. Een etmaal later heeft Adobe toch een tandje bijgezet en meldt het dat het DigiNotar-certificaten uit zijn Approved Trust List verwijdert. Ondertussen kunnen gebruikers van Adobe Acrobat en Reader handmatig DigiNotar CA verwijderen.
Inmiddels heeft ook de Noorse browsermaker Opera DigiNotar in de ban gedaan. Daarmee lopen gebruikers van Apple producten zoals Mac OS X, iOS en de Safari browser als bijna de enigen nog gevaar dat login gegevens worden gekaapt via een onontdekt vals DigiNotar certificaat. Het bedrijf uit Cupertino zwijgt in alle talen over of en wanneer zo'n patch er mogelijk komt. OS X gebruikers kunnen de DigiNotar root wel eenvoudig handmatig uit de 'key chain' verwijderen.
Apple negeert security
Security experts gispen Apple om zijn traagheid en zwijgzaamheid, al wekt het weinig verbazing meer. "Ik ben niet echt verrast", zegt Daniel Duffy, CEO van securitybedrijf Valley Network Solutions, tegen CRN. "Het zijn fantastische uitvinders, maar het is geen technologiebedrijf. Ik zie ze meer als verkoop- en marketingbedrijf."
Ook Andrew Storms, chef van de security-afdeling van nCircle geeft Cupertino een veeg uit de pan. "Apple is weer typisch stil wanneer het aankomt op security en op het moment dat zijn gebruikers het meest urgent hulp nodig hebben."
Chrome wel, Android niet
Apple-klanten zijn niet de enigen die nog certificaatgevaar lopen. Want Google was dan met Chrome de eerste met patchen, een DigiNotar-patch voor het mobiele OS Android is nog in geen velden of wegen te bekennen. Er doen wel tips de rondte om DigiNotar handmatig uit de Android Keystore te verwijderen, maar dat werkt alleen als de gebruiker rootrechten heeft.
Zowel Apple als Google waren niet bereikbaar voor commentaar op de patchkwestie. Webwereld heeft vorige week zaterdag vragen gesteld aan Apple over eventuele maatregelen. Dat is gedaan direct nadat de overheidsimpact van de DigiNotar-kraak aan het licht kwam.
Google Nederland heeft begin deze week laten weten de vragen te hebben doorgespeeld aan het hoofdkwartier. Wanneer er maatregelen te verwachten zijn, is niet bekend. "Maar in algemene zin: uiteraard krijgt de browser in Android ook een update", liet woordvoerder Mark Jansen nog weten.
Mozilla eist schoon schip
Donderdagavond kwam Firefox-maker Mozilla met de eis dat alle certificaatautoriteiten (CA's) een vijftal maatregelen nemen. De belangrijkste zijn: een audit uitvoeren van hun PKI (Public Key Infrastructure) en hun systemen, om te kijken naar sporen van inbraak. Dat omvat ook gelieerde CA's en RA's (Registration Authorities). De Comodo-inbraak in maart dit jaar is gedaan via een reseller van die CA.
De andere maatregel is het toesturen van een volledige lijst van root-certificaten in Mozilla die kruislings zijn ondertekend met andere roots.
Update:
Details over communicatiestilte vanuit Apple en Google toegevoegd.
Update zaterdag 10.25 uur: Apple heeft inmiddels een DigiNotarpatch voor Mac OS X beschikbaar.
Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.