苹果修复了iOS 7中的基本SSL错误

苹果在周五下午悄悄发布了iOS 7.06，解决了iOS 7如何验证SSL证书的问题。 专家警告说，攻击者可以利用此问题发起中间人攻击并窃听所有用户的活动。

苹果在其通报中说：“拥有网络特权的攻击者可以在受SSL / TLS保护的会话中捕获或修改数据。”

用户应立即更新。

当心窃听者

与往常一样，Apple并未提供有关此问题的大量信息，但是熟悉此漏洞的安全专家警告说，与受害者位于同一网络上的攻击者将能够读取安全通信。 在这种情况下，当邮件从用户的iOS 7设备传递到受保护的网站（例如Gmail或Facebook）或什至用于在线银行会话时，攻击者可能会拦截甚至修改邮件。 CrowdStrike的首席技术官Dmitri Alperovich说，这个问题是“苹果SSL实施中的基本错误”。

该软件更新适用于适用于iPhone 4和更高版本，第五代iPod Touch和iPad 2和更高版本的当前版本的iOS。 iOS 7.06和iOS 6.1.6。 Google的高级工程师亚当·兰利（Adam Langley）在他的ImperialViolet博客上写道，最新版本的Mac OS X中也存在相同的缺陷，但尚未修复。 Langley确认该漏洞也存在于iOS 7.0.4和OS X 10.9.1中

证书验证对于建立安全会话至关重要，因为这是站点（或设备）验证信息是否来自受信任来源的方式。 通过验证证书，银行网站知道请求来自用户，而不是攻击者的欺骗请求。 用户的浏览器还依靠证书来验证响应是否来自银行的服务器，而不是来自位于中间并拦截敏感通信的攻击者。

更新设备

Langley说，即使底层操作系统易受攻击，使用NSS而不是SecureTransport的Chrome和Firefox似乎也不受此漏洞的影响。 他在https://www.imperialviolet.org:1266创建了一个测试站点。 兰利说：“如果您可以在端口1266上加载HTTPS站点，则说明存在此错误，”

用户应尽快更新其Apple设备，并在OS X更新可用时也要应用该补丁。 该更新应在受信任的网络上应用，用户在旅行/旅行时应避免在不受信任的网络（尤其是Wi-Fi）上访问安全站点。

CrowdStrike的研究人员Alex Radocea写道：“在未打补丁的移动和笔记本电脑设备上，将“询问加入网络”设置设置为“关”，这将阻止它们显示连接到不受信任网络的提示。

考虑到近期对政府监听的可能性的担忧，iPhone和iPad无法正确验证证书这一事实可能使某些人感到震惊。 约翰·霍普金斯大学密码学教授马修·格林在推特上说：“除了以下几点，我不会谈论苹果的bug的细节。它很容易被利用，尚未受到控制。”