发布日期:2014-03-03
更新日期:2014-03-12
受影响系统:
Apple Mac OS X <= 10.9.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 65989
CVE(CAN) ID: CVE-2014-2234
OS X(前称Mac OS X)是苹果公司为麦金塔电脑开发的专属操作系统的最新版本。
Apple OS X 10.9.2及更早版本的某个针对OpenSSl的Apple补丁使用了“信任评估代理”TEA功能,而没有终止SSL_CTX_set_verify回调函数文档内指定的TLS、SSL握手,这可使远程攻击者通过TEA可以接受、但应用无法接受的证书链,利用该漏洞绕过自定义应用内的其他验证。
<*来源:Hynek Schlawack
链接:https://hynek.me/articles/apple-openssl-verification-surprises/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apple
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: