在研究人员曝光Freak安全漏洞的一周后，苹果和微软也加入谷歌的阵列，发布了该漏洞的安全更新。

这个FREAK(Factoring Attack on RSA-EXPORT Keys)漏洞的出现是因为旧版美国出口政策没有要求高级加密功能。

研究人员发现这个十年之久的漏洞可能被攻击者利用来对易受攻击的设备和网站之间的https连接执行中间人攻击。

他们发现，在连接被拦截后，连接可以被强制使用“出口级”的加密功能，即使在默认情况下禁用较弱的加密算法。

这是SSL/TLS中发现的最新漏洞，它允许未经授权方窥视所谓安全的互联网通信。

最初，只有Android和iOS设备中的浏览器容易受到攻击，但随后微软在安全公告中称，所有其Windows操作系统版本也都容易受到攻击。

谷歌和苹果快速发布补丁

谷歌最先发布安全更新给Android供应商，现在苹果和微软也纷纷效仿。

苹果在其软件的最新更新中为OS X用户发布了安全更新2015-002，并对Apple TV和iOS的更新版本中涵盖了类似的补丁。

OS X安全更新适用于OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5和OS X Yosemite v10.10.2。

独立安全顾问Graham Cluley在博客文章中写道：“我们应该感谢苹果公司在相对较短的时间内为其用户解决了Freak漏洞问题。”

Cluley指出，最新的iOS更新包括对允许攻击者通过发送特制短信息远程重新启动受害者iPhone的漏洞的修复程序。

微软对Freak的响应

微软也快速做出响应，在其2015年3月月度安全更新中涵盖了Freak漏洞的修复程序。

该更新还包括针对IE6和更高版本中关键IE漏洞的MS15-018修复程序，其中包括“Universal XSS”漏洞—可被利用来发动网络钓鱼攻击以及注入恶意代码到用户的浏览器。

MS15-019修复了微软Windows中VBScript脚本引擎的漏洞，该漏洞允许恶意代码在用户计算机执行。

MS15-020修复了微软Windows中允许远程代码执行的漏洞，Cluley之处这类似于Stuxnet蠕虫病毒利用的漏洞。

MS15-021修复了Adobe Font Driver中允许远程代码执行的漏洞，而MS15-022修复了微软Office中允许远程代码执行的漏洞。

微信公众号

TechTarget

官方微博

TechTarget中国