昨天,苹果发布了ios 7.0.6升级补丁,主要修正了ssl连接验证问题。实际上,ios 7.0.6修正的ssl问题属于系统级别的高危漏洞。在发布的支持文档中,苹果提到了7.0.6升级补丁将允许“拥有特权网络地位”的攻击者捕捉和修改 ssl/tls保护的数据。
换句话说,没有升级的ios将受到中间人攻击,这种攻击方式让攻击者可以通过受信任的网站截取通信,获得像登录用户名、密码等敏感信息,被攻击者的电脑还有可能被植入恶意软件。
根据安全公司crowdstrike,os x系统也同样受到了此ssl安全问题的影响。因为ssl/tls验证路线可以被绕过,任何使用共享有线或无线网络的os x用户也会有威胁。ios 7.0.6修正的ssl安全问题由谷歌软件工程师adam langley发现并报告,这个问题影响所有os x 10.9系统。
根据hacker news网站,目前还不清楚在最新的os x 10.9.2中,该问题是否被修正。当然,由于此问题的严重性,相信苹果会在短期内发布修正补丁,解决问题。与此同时,crowdstrike建议用户避免连接不信任的wifi网络。
macx.cn 编译