蘋果釋出安全更新,以修補FREAK等5項安全漏洞。

蘋果發佈的Security Update 2015-002安全更新修補了5項漏洞,其中最值得注意的是FREAK(Factoring attack on RSA-EXPORT Keys)。FREAK漏洞出現在OS X 10.8.5(Mountain Lion)、OS X 10.9.5(Mavericks),及OS X 10.10.2(Yosemite)。蘋果解釋,這項漏洞指的是在使用完整長度(如2048-bit或4096-bit)RSA密碼套件的連線中,SSL用戶端卻接受了通常只用於出口RSA密碼套件、長度較短(如512-bit)的RSA金鑰。FREAK漏洞只影響支援安全等級較低的出口RSA密碼套件的伺服器,只要移除對較短RSA金鑰的支援即可解決該問題。

受FREAK漏洞影響的軟體包括OpenSSL 1.0.1k以前版本、Android瀏覽器及蘋果的Safari瀏覽器,後來微軟證實Windows 也遭到波及。OpenSSL已於去年釋出修補FREAK漏洞的更新版1.0.2。蘋果當時則表示要到本周才會修補。

另外,昨天蘋果最新釋出的iOS 8.2也包含FREAK的修補程式。

這次蘋果修補的其他漏洞中,有二個是來自Google Project Zero通報,包括CVE-2015-1061及CVE-2015-1066。其中CVD-2015-1061存在於OS X 10.8.5、OS X 10.9.5及OS X 10.10.2,其IOSurface框架處理序列化物件的過程出現型態混淆,導致惡意應用可能利用系統管理員權限執行任意程式碼。CVE-2015-1066則出現在上述三個版本作業系統的IOAcceleratorFamily中,也會讓惡意應用以系統權限執行任意程式碼。(編譯/林妍溱)

 

熱門新聞

Advertisement