FREAK漏洞完滿解決 請儘快更新Apple保安補丁
仍然有很多人迷信Apple Mac機及iPhone沒有中病毒風險,這只是很多品牌擁護者一廂情願的想法。因為只要有足夠用戶,只要攻擊有可觀的受眾,黑客怎會沒有方法進行攻擊。例如FREAK攻擊利用了Safari的漏洞在Mac OS X 及iOS偷取資料,Apple星期一推出了Patch更新。
Apple發現FREAK攻擊出現在多個版本作業系統中,包括iOS 8.2、OS X Yosemite、Mavericks及Mountain Lion,從更新編號看出這只是一系列更新中其中一個。Secure Transport是Apple iOS及Mac OS的API加密通訊Secure Sockets Layer (SSL)及Transport Layer Security (TLS)的協議,Secure Transport可採用短期臨時RSA密鑰,這是問題稱為FREAK,不僅影響連接到輸出強度RSA密碼套件的服務器,並刪除臨時RSA密鑰來解決。
Apple繼Google之後都修正了FREAK帶來的問題,Chrome瀏覽器上星期的更新修正了這漏洞。FREAK面對RSA-EXPORT密鑰的攻擊,是上週來自微軟和INRIA的研究人員所發現,這個設計缺陷可以讓網絡犯罪分子強制瀏覽器不知不覺地連接到不安全的伺服器,黑客相對容易破解這些連線。最有可能的攻擊方法是通過一個經典的中間人,攻擊者在不安全的Wi-Fi網絡中插入自己的用戶和服務器,例如咖啡店和機場。
系統更新後,已經證實了Safari不會再受FREAK漏洞影響,用戶可於更新後利用FREAKattack.com 提供的工具測試漏洞是否仍然存在。現時大部份的瀏覽器都有修補,唯獨是Android裝置的Chrome瀏覽器,而Windows方面已經在星期二有了更新。