欢迎光临本资讯站!
  • 微信微信

Apple紧急发布iOS更新,来解决 SSL 连线验证当中的漏洞

人生驱动器 2014-02-25 14:10 硬件资讯 819 views 抢沙发

Apple紧急发布iOS更新,来解决 SSL 连线验证当中的漏洞

Apple 在上周五紧急发佈 iOS 更新,来解决 SSL 连线验证当中的漏洞,不过根据The Verge 报导,问题的根本应该是 SecureTransport 平台,受影响的系统不仅是 iOS,Mac OS X 10.9 Mavericks 使用者亦需注意;截至目前为止苹果并没有对此提出详尽解释,苹果方面也还尚未推出针对 Mac OS X Mavericks 的补救方案,但经 The Verge 联繫后苹果则回应「目前已经在著手解决该问题,不久后将会推出安全性更新」。
The Verge 引述约翰霍普金斯大学(Johns Hopkins University)密码学专家 Matthew Green 推特内容,表示该漏洞不仅容易遭他人利用,同时目前也尚未获得控制,一如前述,就算所有 iOS 使用者都下载更新(小编还没!),也还有一海票系统为 Mac OS X 10.9 Mavericks 的电脑暴露在重要隐私资料遭侵犯的危机中。
一般来说,透过 SSL 验证机制,网路浏览器会确实确认连线的对象是否真为服务提供者(金流、网路银行等等),但由于程式码中有问题,SecureTransport 无法确实确认对方提供的认证是否为有效,也就是说若有人恶意伪装成服务提供者,系统很有可能将其误认,导致使用者损失。
除此之外,其影响的层面还不只包括 Safari 浏览器,根据研究人员 Ashkan Soltani 的说法,任何採用 Apple SSL 验证机制的软体服务,包括 FaceTime、Mail 及 Calendar,或多或少都可能受到影响,同时该问题其实存在已久,早在 iOS 6 开始就有;不过实际要利用 SSL 漏洞来侵犯受影响的装置,也并非如此「便利」,因为对方需跟使用者在 WiFi 可连线的距离内,进行直接且针对性的攻击,因此这样的攻击在执行没想像中「方便」,相较之下对方可能还比较想透过 Flash 或其他已知漏洞来攻击。
然而使用者也不能就此掉以轻心,在更新推出之前,务必尽可能透过私人、加密的 WiFi 网路进行连线;儘管问题暂时有折衷的解决方法,苹果也表示将在不久后发佈更新,但更深层、根本的问题还是需要苹果方面去积极处理,而这问题的所在,根据密码学专家、Cryptocat 成员 Nadim Kobeissi 解释,是程式码当中存在有问题的 if-then 子句,加上一组无端重複的字串 "goto fail",但两者基本上对于苹果这样规模的公司来说,应该都是能够轻易发现并解决的问题。
不过规模也许就是问题的根源,有苹果内部人士指出 OS X 的安全性架构算是历史悠久,经过这麽长一段时间的发展,依据不同产品需求、一路以来不断修正其内容的过程当中,内部人员光是处理新的 bug 就快要焦头烂额,因此像 SecureTransport 这类的核心程式,很有可能长时间没有彻底检查清楚。
不过也有人不认同这样的解释,因为 OpenTransport 基本上在 Mavericks 推出后,内容即开放给大众,也就是说任何人都可能发现有问题的程式串;另外也有部分研究人员抱怨苹果方面在接受外部提报的处理不够积极,但是这样严重的问题理当会优先处理,事后发现似乎并非如此,更讽刺的是,该问题最早其实是由 Google HTTPS 工程师在网路上公开;当然也不是说这样显而易见的问题就不会发生在其他大公司,但苹果确实必须从这次事件当中得到警惕。

 

经由: 驱动人生

转自: 奇摩3c

正文部分到此结束

继续浏览:

还没有评论,快来抢沙发!

发表评论

😉 😐 😡 😈 simple-smile.png 😯 frownie.png rolleyes.png 😛 😳 😮 mrgreen.png 😆 💡 😀 👿 😥 😎 ➡ 😕 ❓ ❗