[情報] 解析 7.0.6 更新的安全性漏洞

作者 | 發布日期 2014 年 02 月 26 日 13:23 | 分類 熱門網摘 , 網路
apple-cupertino-0412_610x407

「解析 7.0.6 更新的安全性漏洞」這篇文章也滿有意思的,很多人都知道前陣子蘋果出了大包,有整整半年的時候,蘋果相關系統,不論是 Mac 筆電的瀏覽器、iPhone、iPad 裝置的瀏覽器,在連線 https 的網址時,也就是 ssl 安全加密驗證的部份,是完全出問題,統統都通過的,因此非常有機會被竊取密碼與重要資訊,這個漏洞問題解決的 patch 更新檔推出後,強烈建議所有蘋果體系的用戶下載,因為會有非常多有心人,想要透過這樣的方式來取得不幸使用者 (未更新系統) 電腦或手機、平板中的密碼等敏感資料。

資安專家表示,這個漏洞是大學生等級的,這篇 PTT 文章做了很清楚的說明和解釋。

想先知道自己有沒有漏洞的,可以點這個網址來測試看看,很安全的:https://gotofail.com/




其中一段提到「網路上的東西是不該隨便相信沒有錯

來,首先看 Apple 的公告: http://support.apple.com/kb/HT6147?viewlocale=en_US&locale=en_US

這邊提到漏洞編號是 CVE-2014-1266 於是接著查到這邊: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1266&cid=1 表示漏洞存在於libsecurity_ssl/lib/sslKeyExchange.c

最後是 Apple 自己放上去的程式碼 http://tinyurl.com/phzhghu 裡面就有上面提到的漏洞 然後有人針對這段程式碼的錯誤自行做了一個 Patch

http://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html可以找到 實測結果patch後真的有效(前面有漏洞測試網站)

所以應該是這個錯誤無誤 最後 加密認證很多程式碼都是公開的,例如 OpenSSL 程式碼公開不代表安全性有問題(其實公開的反而安全 大家會幫忙找漏洞) 加密認證個重點在你有攻擊者所不知道的 key」

詳細請點此:[情報] 解析 7.0.6 更新的安全性漏洞 – 看板 iPhone – 批踢踢實業坊

發表迴響