最新iOS已修正SSL验证问题,但OS X系统仍然有危险

昨天,苹果发布了iOS 7.0.6升级补丁,主要修正了SSL连接验证问题。实际上,iOS 7.0.6修正的SSL问题属于系统级别的高危漏洞。在发布的支持文档中,苹果提到了7.0.6升级补丁将允许“拥有特权网络地位”的攻击者捕捉和修改 SSL/TLS保护的数据。

换句话说,没有升级的iOS将受到中间人攻击,这种攻击方式让攻击者可以通过受信任的网站截取通信,获得像登录用户名、密码等敏感信息,被攻击者的电脑还有可能被植入恶意软件。

根据安全公司CrowdStrike,OS X系统也同样受到了此SSL安全问题的影响。因为SSL/TLS验证路线可以被绕过,任何使用共享有线或无线网络的OS X用户也会有威胁。iOS 7.0.6修正的SSL安全问题由谷歌软件工程师Adam Langley发现并报告,这个问题影响所有OS X 10.9系统。

根据Hacker News网站,目前还不清楚在最新的OS X 10.9.2中,该问题是否被修正。当然,由于此问题的严重性,相信苹果会在短期内发布修正补丁,解决问题。与此同时,CrowdStrike建议用户避免连接不信任的WiFi网络。

MacX.cn 编译

时间: 2024-09-20 10:56:13

最新iOS已修正SSL验证问题,但OS X系统仍然有危险的相关文章

不升级是对的:最新iOS 10存在密码验证漏洞

苹果最新iOS 10系统版本包含有缺陷的密码验证机制,这严重影响该移动操作系统的安全性. 网络取证公司Elcomsoft披露iOS的密码验证系统存在"重大安全漏洞",这可能破坏本地备份的保护,并让攻击者对用户登录凭证进行暴力破解成功的几率增加40倍. 新的密码验证机制是对旧机制的补充,旧机制目前仍然安全.然而,新机制允许Elcomsoft公司向其移动设备取证产品执行攻击.该攻击可用于解密本地备份,其中包括钥匙串数据.其结果是,攻击者可利用这个iOS漏洞获取密码和身份验证令牌,以及信用卡

不能验证这个“安装 OS X EI Capitan”应用程序副本解决方法(已修正)

不能验证这个"安装 OS X EI Capitan"应用程序副本解决方法 最近黑苹果乐园制作的OS X EI Capitan 10.11.3自带Clover USB安装镜像,经过黑果粉们的验证发现在安装的时候会提示:不能验证这个"安装 OS X EI Capitan"应用程序副本,它在下载过程中可能一遭破坏和篡改. 文章前言 最近黑苹果乐园制作的OS X EI Capitan 10.11.3自带Clover USB安装镜像,经过黑果粉们的验证发现在安装的时候会提示:

ios-求助 iOS https适配 我用的AFNetworking ssl验证的那个函数报错..

问题描述 求助 iOS https适配 我用的AFNetworking ssl验证的那个函数报错.. AFHTTPSessionManager *manager = [AFHTTPSessionManager manager]; //1.管理器[manager setRequestSerializer:[AFHTTPRequestSerializer serializer]];manager.responseSerializer.acceptableContentTypes = [NSSet s

jboss ssl-jboss7.1如何配置ssl验证登陆

问题描述 jboss7.1如何配置ssl验证登陆 如题所示,需要在jboss下配置ssl登陆,使用https方式,求助~ 解决方案 1.生成密钥 进入%JAVA_HOME%/bin目录执行命令 keytool -genkey -alias tomcat -keyalg RSA -keystore F:tomcat.keystore -validity 36500 参数简要说明: "F:tomcat.keystore"含义是将证书文件保存在F盘,证书文件名称是tomcat.keystor

ios 7下发票验证 original_purchase_date 与 purchase_date

问题描述 ios 7下发票验证 original_purchase_date 与 purchase_date 大家好,请问ios 7下发票验证回来的字典, original__purchase___date 与 purchase_date 有什么区别,我在sandbox中拿到 的数据都是相差几秒.他们有什么区别呢?判断过期以什么为准?跪求高人指导,感激不尽.

ios-WeX5 iOS应用打包,验证失败

问题描述 WeX5 iOS应用打包,验证失败 使用WeX5开发工具,使用苹果个人开发证书,打包iOS平台应用,使用itms://...的HTTPS安装方式或是itools安装到未越狱的苹果手机上,提示验证失败,求指点大侠解决方案 解决方案 http://www.justep.com/cn/wex5-platform-to-app-process/ 请叫我雷锋 解决方案二: 已经看过 多谢 问题也找到了 是苹果证书问题 解决方案三: 已经看过 多谢 问题也找到了 是苹果证书问题

php-curl不支持https, 已安装ssl扩展

问题描述 curl不支持https, 已安装ssl扩展 用curl抓取http网页没问题,但抓https就不行,程序没有报错,可是不响应. 解决方案 这两个加上 curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false ); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false );

服务器已部署SSL开启https协议为什么浏览器仍然提示不安全?

客户反馈服务器已部署SSL,全站开启了https协议访问了,为什么浏览器仍然提示不安全?是证书无效吗? 万维景盛工程师检查发现,客户网站虽然已经可以使用https访问了,但网站上仍然还有http协议的js,css,jpg或iframe的资源,因此导致浏览器不出现绿色安全锁. 为了让浏览器完全显示https安全锁,那么需要我们在部署https协议后,对整站进行清理,包括静态页面的http全路径.javascript静态资源.css样式单.iframe等资源调用的协议. 将这些资源的引用都改为htt

真相 | Facebook AI系统并未“失控”,研究员已修正bug

雷锋网AI科技评论按:英国<太阳报>8月1日报道了一则"机器人正在接手人类主动权吗?"的新闻.文中讲到 Facebook最近关停了一项人工智能实验,因为两个机器人开始用自己的语言交流,人类并不知道它们在讲什么. 随后,Facebook关闭"失控"AI系统,机器人发展出人类无法理解的语言等类似这样的标题占据国内各大科技媒体头条.然而AI科技评论并没有跟风,为了弄清事情的来龙去脉,给公众一个客观真实的报道,我们了解到: Facebook并没有关闭这个AI实验