先前蘋果曾宣布發現一個iOS 加密系統中的關鍵漏洞,需要盡快修復,接著其他研究者發現這個漏洞同樣存在於OS X 和Safari 中。
現在另一位研究者還發現,這個漏洞的影響遠不止是Safari 瀏覽器,郵件、FaceTime 、iMessage 甚至蘋果內置的軟件升級系統都受到影響。
上週日,隱私保護研究員Ashkan Soltani 在Twitter 上貼出了一部分使用了同一TLS 和SSL 加密代碼庫的軟件。他用紅線在圖中標出了軟件名稱,可以看出諸多內置軟件都名列其中。
Soltani 表示,通過中間人攻擊(Man in The Middle Attack),黑客可以在用戶不知曉的情況下安裝監控軟件。更火上澆油的是蘋果軟件升級系統也受到了影響,也就是說蘋果給iOS 和OS X 推送軟件安全更新的工具也可能被黑客攻陷。
而說起這個漏洞的源頭,則是一個活生生的“論良好程序架構”例子。這個被安全社區命名為“gotofail” 的漏洞源於蘋果軟件代碼中一個使用不當的“goto” 語句——幾乎所有學習過程序設計的人都被告知應竭力避免使用臭名昭著的 goto 語句。
安全公司Crowdstrike 及Google 的工程師迅速分析了這個漏洞,發現它同樣存在於OS X 中。工程師們建議大家在蘋果修復該漏洞前遠離不被信任的網絡鏈接,並儘量不要使用Safari 。
隨著漏洞帶來的影響越來越大,蘋果也已經表示將會“迅速”發布相關補丁。但考慮到眾多受此影響的軟件需要修復,補丁可能不會太快推出。
題圖來自 ziogeek、插圖來自 cas
資料來源:ifanr
請按此登錄後留言。未成為會員? 立即註冊