周一,苹果公司修补了OS X和iOS系统的漏洞,发布了针对这两个操作系统的更新,以保护其Safari浏览器的用户。
在附带的两项建议中,苹果指出,畸形修复是其中之一iOS 8.2和OS X约塞米蒂,小牛和山狮。OS X更新被贴上了标签2015 - 002将其标识为多版本修复。
“安全传输接受短期RSA密钥,通常只用于出口强度RSA密码组,用于使用全强度RSA密码组的连接,”苹果在两份报告中表示。这个问题也被称为FREAK,只影响到支持export-strength RSA密码套件的服务器连接,通过删除对临时RSA密钥的支持解决了这个问题。
“安全传输”是苹果的API(应用程序编程接口)的名称在iOS和mac OS X,它实现了安全套接字层(SSL)加密协议和传输层安全(TLS)是标准的Web上的保护设备之间的通信,主要通过运行在他们的浏览器——和网站服务器。
苹果紧随谷歌之后,为《畸形人》打补丁;谷歌上周更新了Windows、OS X和Linux操作系统的Chrome浏览器,以应对这一漏洞。
上周,微软和法国研究机构INRIA的研究人员将这个名字分配给了a设计缺陷这可能会让网络犯罪分子悄无声地迫使浏览器-服务器连接退回到废弃已久的加密标准,这些加密标准由相对容易被现成软件和从云服务购买的计算能力破解的密钥保护。
最有可能的攻击方式是典型的“中间人”(MITM)攻击,攻击者将自己插入不安全的Wi-Fi网络的用户和服务器之间,比如咖啡店和机场。
iOS和OS X的默认浏览器Safari可能会被迫使用更弱的密码库,这些密码库曾经是唯一允许导出到美国以外的密码库。尽管导出规则逐渐放宽,然后大部分被放弃,浏览器和服务器仍然轻松地支持这个退路。
《计算机世界》验证了iOS 8.2和OS X 2015-002成功更新补丁Safari对抗畸形。在此之前,这两种操作系统上的浏览器在测试时都报告说它们是脆弱的FREAKattack.com,该网站由密歇根大学的一群计算机科学家维护。
其他浏览器制造商还没有修复他们的产品。谷歌的Chrome在Android上仍然很脆弱——尽管Chrome 41的beta版是安全的——微软也一样发布了一个顾问并确认bug是在Windows内部,尚未推出修复方案。微软周二的本月补丁将在明天发布;有一个极小的机会,它将部署一个修复。
iOS 8.2修补了另外五个漏洞,安全更新2015-002修复了另外四个漏洞。
iOS 8.2可以通过iphone、ipad、iPod touch或iTunes下载。在iPhone上,用户必须点击“设置”图标,然后点击屏幕上的“常规”按钮。点击“软件更新”将启动更新过程。
在苹果菜单中选择“App Store”,然后点击商店窗口右上方的“Updates”图标,即可获取OS X的安全更新2015-002。
这个故事,“苹果保护Safari免受怪物攻击”最初是由《计算机世界》 。