iOS 安全漏洞影響擴大,核心軟體不能倖免

iOS 安全漏洞影響擴大,核心軟體不能倖免

先前蘋果曾宣布發現一個 iOS 加密系統中的關鍵漏洞,需要盡快修復,接著其他研究者發現這個漏洞同樣存在於 OSX 和 Safari 中。

現在另一位研究者還發現,這個漏洞的影響遠不止是瀏覽器, Mail 、 Facetime 、 iMessage 甚至蘋果內建的軟體升級系統都受到影響

上週日,隱私保護研究員 Ashkan Soltani 在 Twitter 上貼出了一部分使用了同一 TLS 和 SSL 加密代碼庫的軟體。他用紅線在圖中標出了軟體名稱,可以看出諸多內建軟體都名列其中。

iOS 安全漏洞影響擴大,核心軟體不能倖免

Soltani 表示,通過中間人攻擊(man in the middle attack),駭客可以在用戶不知曉的情況下安裝監控軟體。更火上澆油的是蘋果軟體升級系統也受到了影響,也就是說蘋果給 iOS 和 OSX 推送軟體安全更新的工具也可能被駭客攻陷。

而說起這個漏洞的源頭,則是一個活生生的「論良好程序架構」例子。這個被安全社區命名為「gotofail」的漏洞源於蘋果軟體代碼中一個使用不當的「goto」語句——幾乎所有學習過程序設計的人都被告知應竭力避免使用臭名昭著的 goto 語句。

iOS 安全漏洞影響擴大,核心軟體不能倖免

安全公司 Crowdstrike 及 Google 的工程師迅速分析了這個漏洞,發現它同樣存在與 OSX 中,工程師們建議大家在蘋果修復該漏洞前遠離不被信任的網絡連結,並儘量不要使用 Safari 。

隨著漏洞帶來的影響越來越大,蘋果也已經表示將會「迅速」發布一個更新。但考慮到眾多受此影響的軟體需要修復,這個更新可能不會太快推出。

題圖來自  ziogeek、插圖來自  cas

iOS 安全漏洞影響擴大,核心軟體不能倖免

ifanr
作者

ifanr依托於中國移動互聯網的發展大潮,用敏銳的觸覺、出色的內容,聚焦 TMT 領域資訊,迅速成為中國最為出色的新銳科技Blog 媒體。

使用 Facebook 留言
alufa
2.  alufa (發表於 2014年2月24日 18:30)
想到之前學程式時,老師規定只要用到goto一律零分...
Apple的程式設計師太好混?
GUESS
3.  GUESS (發表於 2014年2月25日 08:51)
這個漏洞最好笑的情控是..某些果粉居然宣稱某些機型用特定IOS版本最順!拒絕安裝7.0.6的堵漏洞更新..
發表回應
謹慎發言,尊重彼此。按此展開留言規則