相關文章

D97c0a9684948d460c21e864210ba0f2 先前蘋果曾宣布發現一個 iOS 加密系統中的關鍵漏洞,需要盡快修復,接著其他研究者發現這個漏洞同樣存在於 OSX 和 Safari 中。

現在另一位研究者還發現,這個漏洞的影響遠不止是瀏覽器, Mail 、 Facetime 、 iMessage 甚至蘋果內建的軟體升級系統都受到影響

上週日,隱私保護研究員 Ashkan Soltani 在 Twitter 上貼出了一部分使用了同一 TLS 和 SSL 加密代碼庫的軟體。他用紅線在圖中標出了軟體名稱,可以看出諸多內建軟體都名列其中。

Soltani 表示,通過中間人攻擊(man in the middle attack),駭客可以在用戶不知曉的情況下安裝監控軟體。更火上澆油的是蘋果軟體升級系統也受到了影響,也就是說蘋果給 iOS 和 OSX 推送軟體安全更新的工具也可能被駭客攻陷。

而說起這個漏洞的源頭,則是一個活生生的「論良好程序架構」例子。這個被安全社區命名為「gotofail」的漏洞源於蘋果軟體代碼中一個使用不當的「goto」語句——幾乎所有學習過程序設計的人都被告知應竭力避免使用臭名昭著的 goto 語句。

安全公司 Crowdstrike 及 Google 的工程師迅速分析了這個漏洞,發現它同樣存在與 OSX 中,工程師們建議大家在蘋果修復該漏洞前遠離不被信任的網絡連結,並儘量不要使用 Safari 。

隨著漏洞帶來的影響越來越大,蘋果也已經表示將會「迅速」發布一個更新。但考慮到眾多受此影響的軟體需要修復,這個更新可能不會太快推出。

題圖來自  ziogeek、插圖來自  cas

使用 Facebook 留言

alufa
2.  alufa (發表於 2014年2月24日 18:30)
想到之前學程式時,老師規定只要用到goto一律零分...
Apple的程式設計師太好混?
GUESS
3.  GUESS (發表於 2014年2月25日 08:51)
這個漏洞最好笑的情控是..某些果粉居然宣稱某些機型用特定IOS版本最順!拒絕安裝7.0.6的堵漏洞更新..

發表回應

謹慎發言,尊重彼此。按此展開留言規則