苹果近日发布安全更新，公告号为2015-002，这个安全更新修补了五项漏洞，其中最重要的就是FREAK(Factoring attack on RSA-EXPORT Keys)。这个OS X安全更新适用于OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5和OS X Yosemite v10.10.2。另外苹果最新发布的iOS 8.2也包含FREAK的修补程序。

受FREAK漏洞影响的软件包括OpenSSL 1.0.1k以前版本、Android浏览器及苹果的Safari浏览器，后来微软证实Windows 也遭到波及。这个安全漏洞能让黑客强迫浏览器以低加密方式浏览包括政府网站在内的多个网站，从而使用户的帐户资料更容易被破解甚至被盗。OpenSSL已于去年发布修补FREAK漏洞的更新版1.0.2。 iPhone 和 iPad 用户被苹果强烈建议升级到已经解决 FREAK 的 iOS 8.2，Apple TV 也有版本 7.1 的系统更新，现在苹果终于发布了安全更新。

苹果解释称这项漏洞指的是在使用完整长度(如2048-bit或4096-bit)RSA密码套件的连线中，SSL用户端却接受了通常只用于出口RSA密码套件、长度较短(如512-bit)的RSA金钥。FREAK漏洞只影响支援安全等级较低的出口RSA密码套件的服务器，只要移除对较短RSA金钥的支援即可解决该问题。

苹果发布安全更新 修补FREAK等多个安全漏洞

这次苹果修补的其他漏洞中，有两个是来自Google Project Zero公告，包括CVE-2015-1061及CVE-2015-1066。其中CVD-2015-1061存在于OS X 10.8.5、OS X 10.9.5及OS X 10.10.2，其IOSurface框架处理序列化物件的过程出现型态混淆，导致恶意应用可能利用系统管理员权限执行任意程序代码。CVE-2015-1066则出现在上述三个版本操作系统的IOAcceleratorFamily中，也会让恶意应用借用系统权限执行任意程序代码。

【点击进入“天极网企业频道”认证微博】