蘋果釋出iOS 4.3.5修補漏洞　專家：儘快更新

蘋果於本周一（7/25）釋出iOS 4.3.5供iPhone及iPad用戶進行更新，該更新只修補一個安全漏洞，但安全專家呼籲iOS裝置用戶要儘快部署。

iOS 4.3.5純粹是一個安全更新，並沒有任何功能上的改變；根據蘋果的說明，該漏洞允許駭客攔截或更改使用者在SSL/TSL安全傳輸中的資料。

資安業者Sophos安全顧問Chester Wisniewski在蘋果釋出更新程式時便呼籲使用者應儘快更新該漏洞，而當天資安研究人員Moxie Marlinspike就釋出一概念性攻擊程式，使得該漏洞更為危急。

Marlinspike說明，iOS所使用的Webkit或是微軟的CryptoAPI都在一憑證鏈中驗證所有的簽章，但未能檢查其中間憑證是否擁有有效的延展期限，使得其他人可使用任何舊的CA憑證來簽入。

Wisniewski指出，這代表任何人都可在使用者未察覺的情況下，藉由中間人技術攔截iPhone、iPad或iPod touch的SSL加密流量，使用者若在公開的Wi-Fi網路下使用iOS裝置登入像是PayPal或其他網路服務則風險更高。

iOS 4.3.5適用於iPhone 3GS、iPhone4、兩代的iPad、第三/四代的iPod touch，但並不支援較舊的版本。由於Marlinspike宣稱該漏洞已存在9年之久，而蘋果已不再更新舊版的iPod touch與iPhone韌體，顯示這些iOS裝置的用戶只能自求多福，Wisniewski則建議這些舊版iOS裝置的使用者不要利用該裝置來連結任何可能會洩露個人機密資訊的服務。（編譯/陳曉莉）