GnuTLS庫中的一個源代碼錯誤可能證明是對Linux用戶隱私的一個嚴(yán)重威脅，因此開發(fā)者緊急修復(fù)這個安全漏洞。GnuTLS庫是大量的不同Linux發(fā)布版軟件用于處理安全互聯(lián)網(wǎng)連接的一個開源軟件構(gòu)件。

GnuTLS開發(fā)者Nikos Mavrogiannopolous本周一在一個郵件列表消息中宣布，他已經(jīng)對源代碼使用了補(bǔ)丁，修復(fù)了這個漏洞。這個漏洞能夠讓攻擊者在驗證證書的時候欺騙GnuTLS的系統(tǒng)，把安全的連接暴漏給竊聽者。

通過創(chuàng)建一個具體類型的假冒證書，攻擊者能夠欺騙GnuTLS接受它為真正的證書，批準(zhǔn)訪問安全的連接。這樣，入侵者就能夠以純文本方式監(jiān)視經(jīng)過這個連接的通訊流量，甚至能夠嵌入自己的代碼，從而打開進(jìn)一步攻擊的通道。

Mavrogiannopolous說，這個軟件瑕疵是“令人難堪的”。他說，這個問題是一位審計人員代表他的雇主Red Hat公司進(jìn)行性能審計時發(fā)現(xiàn)的。據(jù)LWN.net網(wǎng)站發(fā)布的安全公告稱，一些主要Linux發(fā)布版已經(jīng)使用了Mavrogiannopolous提供的補(bǔ)丁。Ubuntu、Debian、Fedora、Red Hat、甲骨文、Slackware和SUSE等公司已經(jīng)發(fā)布了旨在修復(fù)這個漏洞的軟件更新。

這個消息是在蘋果修復(fù)其軟件中的一個同樣的安全漏洞幾天之后傳出來的。蘋果軟件中的那個安全漏洞能夠讓iOS和OS X用戶遭到類似的中間人攻擊。由于蘋果產(chǎn)品有廣泛的消費(fèi)者用戶，那個“goto fail”問題受到了廣泛的關(guān)注。一些評論家甚至把蘋果明顯遲緩地修復(fù)這個安全漏洞歸咎于邪惡的動機(jī)。