蘋果iOS及Mac OS出現可能導致中間人攻擊的SSL漏洞,蘋果上周五(2/21)首先釋出iOS 7.0.6加以防堵;OS X 的修補程式蘋果則表示會盡快釋出。

蘋果支援網頁指出,iOS 7.0.6的安全更新修補了SSL加密連線過程中的漏洞,這項漏洞使得裝置無法驗證連線的真實性,導致具有網路權限的駭客得以截聽或竄改資訊。蘋果指出,更新作業系統以重置遺漏的驗證程序即可解決這項問題。

蘋果說法十分簡略,不過Google網路加密專家Adam Langely寫了一篇專文剖析其中原因指出,極可能出在驗證相關的程式碼某一段多了個goto fail的指令,導致程式碼執行被擾亂,而跳過了重要的身份驗證。

這項漏洞使得iPhone或iPad使用者在利用公共網路收發電子郵件、發推特、上Facebook或網路銀行時,都可能讓駭客透過中間人攻擊手法截聽到帳號密碼,進一步冒充使用者,或注入惡意程式於系統內。

其實除了iPhone、iPod及iPad之外,蘋果也證實Mac電腦OS X作業系統也有同樣的驗證漏洞,不過OS X 10.9以後才有這項漏洞。據報導,蘋果目前還在測試OS X版的修補程式,表示會「儘快釋出」。

蘋果指出,可下載最新作業系統的裝置包括iPhone 4以後、iPod Touch及iPad 2以後的產品。(編譯/林妍溱)

 


Advertisement

更多 iThome相關內容