OS X系统依旧存在SSL连接验证问题

fudashuai · 发表于 2014-2-23 15:28

北京时间2月23日上午消息，苹果公司本周发布了iOS 7.0.6版本，修复了关于SSL连接验证的问题。OS X可能也存在类似漏洞，因为该系统也有着同样的认证缺陷。由于可以绕开SSL/TLS认证路由，因此OS X用户在共享的有线和无线网络中容易受到攻击。

登录/注册后可看大图

技术支持文档

　　在技术支持文档中，苹果公司表示，此前的漏洞使得“高网络权限”的攻击者可以捕捉或修改通过SSL/TLS技术保护的数据，而此次发布的补丁修复了该漏洞。

　　换句话说，对于iOS系统，攻击者此前可以伪装成受信网站拦截通信，获取敏感信息，例如用户名和密码，或注入有害的恶意软件。

　　信息安全公司CrowdStrike表示，OS X可能也存在类似漏洞，因为该系统也有着同样的认证缺陷。由于可以绕开SSL/TLS认证路由，因此OS X用户在共享的有线和无线网络中容易受到攻击。

登录/注册后可看大图

漏洞验证

　　这一漏洞由谷歌软件工程师亚当·朗格利(Adam Langley)发现，最初可能出现在OS X 10.9版本中。根据Hacker News网站用户的说法，目前仍不清楚最新的OS X 10.9.2是否解决了这一漏洞。通过在Safari浏览器中访问gotofail.com网站，用户可以检查自己的计算机是否受到该漏洞的影响。

　　苹果公司很可能即将发布一个补丁，修复OS X的漏洞。与此同时，CrowdStrke建议不要在旅行过程中连接不受信的WiFi网络。该网站还建议用户立即升级至iOS 7.0.6。