在研究人員曝光Freak安全漏洞的一周后，蘋果和微軟也加入谷歌的陣列，發(fā)布了該漏洞的安全更新。

這個(gè)FREAK(Factoring Attack on RSA-EXPORT Keys)漏洞的出現(xiàn)是因?yàn)榕f版美國出口政策沒有要求高級(jí)加密功能。

研究人員發(fā)現(xiàn)這個(gè)十年之久的漏洞可能被攻擊者利用來對(duì)易受攻擊的設(shè)備和網(wǎng)站之間的https連接執(zhí)行中間人攻擊。

他們發(fā)現(xiàn)，在連接被攔截后，連接可以被強(qiáng)制使用“出口級(jí)”的加密功能，即使在默認(rèn)情況下禁用較弱的加密算法。

這是SSL/TLS中發(fā)現(xiàn)的最新漏洞，它允許未經(jīng)授權(quán)方窺視所謂安全的互聯(lián)網(wǎng)通信。

最初，只有Android和iOS設(shè)備中的瀏覽器容易受到攻擊，但隨后微軟在安全公告中稱，所有其Windows操作系統(tǒng)版本也都容易受到攻擊。

谷歌和蘋果快速發(fā)布補(bǔ)丁

谷歌最先發(fā)布安全更新給Android供應(yīng)商，現(xiàn)在蘋果和微軟也紛紛效仿。

蘋果在其軟件的最新更新中為OS X用戶發(fā)布了安全更新2015-002，并對(duì)Apple TV和iOS的更新版本中涵蓋了類似的補(bǔ)丁。

OS X安全更新適用于OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5和OS X Yosemite v10.10.2。

獨(dú)立安全顧問Graham Cluley在博客文章中寫道：“我們應(yīng)該感謝蘋果公司在相對(duì)較短的時(shí)間內(nèi)為其用戶解決了Freak漏洞問題。”

Cluley指出，最新的iOS更新包括對(duì)允許攻擊者通過發(fā)送特制短信息遠(yuǎn)程重新啟動(dòng)受害者iPhone的漏洞的修復(fù)程序。

微軟對(duì)Freak的響應(yīng)

微軟也快速做出響應(yīng)，在其2015年3月月度安全更新中涵蓋了Freak漏洞的修復(fù)程序。

該更新還包括針對(duì)IE6和更高版本中關(guān)鍵IE漏洞的MS15-018修復(fù)程序，其中包括“Universal XSS”漏洞—可被利用來發(fā)動(dòng)網(wǎng)絡(luò)釣魚攻擊以及注入惡意代碼到用戶的瀏覽器。

MS15-019修復(fù)了微軟Windows中VBScript腳本引擎的漏洞，該漏洞允許惡意代碼在用戶計(jì)算機(jī)執(zhí)行。

MS15-020修復(fù)了微軟Windows中允許遠(yuǎn)程代碼執(zhí)行的漏洞，Cluley之處這類似于Stuxnet蠕蟲病毒利用的漏洞。

MS15-021修復(fù)了Adobe Font Driver中允許遠(yuǎn)程代碼執(zhí)行的漏洞，而MS15-022修復(fù)了微軟Office中允許遠(yuǎn)程代碼執(zhí)行的漏洞。