[[109026]]

先前蘋果曾宣布發(fā)現(xiàn)一個 iOS 加密系統(tǒng)中的關(guān)鍵漏洞，需要盡快修復(fù)，接著其他研究者發(fā)現(xiàn)這個漏洞同樣存在于 OSX 和 Safari 中。

現(xiàn)在另一位研究者還發(fā)現(xiàn)，這個漏洞的影響遠(yuǎn)不止是瀏覽器， Mail 、 Facetime 、 iMessage 甚至蘋果內(nèi)置的軟件升級系統(tǒng)都受到影響。

上周日，隱私保護(hù)研究員 Ashkan Soltani 在 Twitter 上貼出了一部分使用了同一 TLS 和 SSL 加密代碼庫的軟件。他用紅線在圖中標(biāo)出了軟件名稱，可以看出諸多內(nèi)置軟件都名列其中。

Soltani 表示，通過中間人攻擊（man in the middle attack），黑客可以在用戶不知曉的情況下安裝監(jiān)控軟件。更火上澆油的是蘋果軟件升級系統(tǒng)也受到了影響，也就是說蘋果給 iOS 和 OSX 推送軟件安全更新的工具也可能被黑客攻陷。

而說起這個漏洞的源頭，則是一個活生生的“論良好程序架構(gòu)”例子。這個被安全社區(qū)命名為“ gotofail ”的漏洞源于蘋果軟件代碼中一個使用不當(dāng)?shù)?ldquo; goto ”語句——幾乎所有學(xué)習(xí)過程序設(shè)計的人都被告知應(yīng)竭力避免使用臭名昭著的 goto 語句。

[[109027]]

安全公司 Crowdstrike 及 Google 的工程師迅速分析了這個漏洞，發(fā)現(xiàn)它同樣存在與 OSX 中，工程師們建議大家在蘋果修復(fù)該漏洞前遠(yuǎn)離不被信任的網(wǎng)絡(luò)鏈接，并盡量不要使用 Safari 。

隨著漏洞帶來的影響越來越大，蘋果也已經(jīng)表示將會“迅速”發(fā)布一個補(bǔ)丁。但考慮到眾多受此影響的軟件需要修復(fù)，這個補(bǔ)丁可能不會太快推出。