企業(yè)網D1Net訊2月25日(上海)
蘋果的安全性由其自身系統(tǒng)的封閉性和應用平臺環(huán)境的純粹性獲得了企業(yè)BYOD的信任。但,安全似乎是所有IT從業(yè)者的噩夢,此前,蘋果被爆出的安全漏洞問題被證實,同時,研究人員發(fā)現,這個漏洞影響的將不止是Safari,甚至是各類軟件(包括其自帶軟件)、Apple升級系統(tǒng)……
上周日,Ashkan Soltani(一隱私保護研究員)在Twitter 上貼出了一部分使用了同一TLS 和SSL 加密代碼庫的軟件。他用紅線在圖中標出了軟件名稱,可以看出諸多內置軟件都名列其中。
Soltani 表示,通過中間人攻擊(Man in The Middle Attack),黑客可以在用戶不知曉的情況下安裝監(jiān)控軟件。更火上澆油的是蘋果軟件升級系統(tǒng)也受到了影響,也就是說蘋果給iOS 和OS X 推送軟件安全更新的工具也可能被黑客攻陷。
而說起這個漏洞的源頭,則是一個活生生的“論良好程序架構”例子。這個被安全社區(qū)命名為“gotofail” 的漏洞源于蘋果軟件代碼中一個使用不當的“goto” 語句——幾乎所有學習過程序設計的人都被告知應竭力避免使用臭名昭著的goto 語句。
安全公司Crowdstrike 及Google 的工程師迅速分析了這個漏洞,發(fā)現它同樣存在于OS X 中。工程師們建議大家在蘋果修復該漏洞前遠離不被信任的網絡鏈接,并盡量不要使用Safari 。
隨著漏洞帶來的影響越來越大,蘋果也已經表示將會“迅速”發(fā)布相關補丁。但考慮到眾多受此影響的軟件需要修復,補丁可能不會太快推出。
或許此事也讓安全問題再次擺上的臺面。絕對的安全環(huán)境是難以保證的,并不是說每一個訪問內容都會被黑客攻擊,同時,終端安全的同時,企業(yè)后端對安全的防護才是企業(yè)在可控范圍內杜絕數據泄露的重中之中。
京公網安備 11010502049343號