蘋果修補FREAK及其他漏洞

蘋果釋出安全更新，以修補FREAK等5項安全漏洞。

蘋果發佈的Security Update 2015-002安全更新修補了5項漏洞，其中最值得注意的是FREAK（Factoring attack on RSA-EXPORT Keys）。FREAK漏洞出現在OS X 10.8.5（Mountain Lion）、OS X 10.9.5（Mavericks），及OS X 10.10.2（Yosemite）。蘋果解釋，這項漏洞指的是在使用完整長度（如2048-bit或4096-bit）RSA密碼套件的連線中，SSL用戶端卻接受了通常只用於出口RSA密碼套件、長度較短（如512-bit）的RSA金鑰。FREAK漏洞只影響支援安全等級較低的出口RSA密碼套件的伺服器，只要移除對較短RSA金鑰的支援即可解決該問題。

受FREAK漏洞影響的軟體包括OpenSSL 1.0.1k以前版本、Android瀏覽器及蘋果的Safari瀏覽器，後來微軟證實Windows 也遭到波及。OpenSSL已於去年釋出修補FREAK漏洞的更新版1.0.2。蘋果當時則表示要到本周才會修補。

另外，昨天蘋果最新釋出的iOS 8.2也包含FREAK的修補程式。

這次蘋果修補的其他漏洞中，有二個是來自Google Project Zero通報，包括CVE-2015-1061及CVE-2015-1066。其中CVD-2015-1061存在於OS X 10.8.5、OS X 10.9.5及OS X 10.10.2，其IOSurface框架處理序列化物件的過程出現型態混淆，導致惡意應用可能利用系統管理員權限執行任意程式碼。CVE-2015-1066則出現在上述三個版本作業系統的IOAcceleratorFamily中，也會讓惡意應用以系統權限執行任意程式碼。（編譯/林妍溱）