苹果和谷歌为反常的SSL漏洞准备补丁

苹果和谷歌正在为这两家公司的移动浏览器使用的网络加密协议新发现的一个漏洞准备补丁。

昨天披露的这个奇怪的漏洞是影响安全套接字层(SSL)和传输层安全(TLS)协议的一系列漏洞中的最新一个，这些协议用于加密HTTPS网站和浏览器之间的通信。

中间人攻击者可以迫使受影响的浏览器和网站之间的连接从“强”RSA加密降级为“导出级”RSA加密。这种较弱的版本是上世纪90年代法律的副产品，当时的法律规定，从加密技术强大的美国产品出口是非法的。

为什么企业领导必须是安全领导

为什么许多董事会把IT安全主要留给安全技术人员，为什么技术人员不能说服他们的董事会将稀缺的资金用于保护利益相关者的信息?我们提供了关于如何消除IT安全治理差距的指导。

普林斯顿大学信息技术政策中心主任Ed Felten说，数以千计的网站都很容易受到攻击，包括美国国家安全局的网站。美国国家安全局推动了出口级加密的弱化。

费尔滕昨天在他的博客中写道:“密码政策的后果给我们上了重要的一课:美国国家安全局在90年代削弱可输出密码学的行动是自食其果，它在20年后破坏了自己网站的安全。”

据发现该漏洞的巴黎INRIA研究人员称，该漏洞会影响SSL/TLS服务器和客户端，尤其是OpenSSL浏览器，比如4.4版奇巧之前所有Android设备都支持的Android浏览器。奇巧是Chrome浏览器的默认版本，目前占所有安卓设备的40%，但这仍然意味着大部分安卓设备受到了影响。

苹果在桌面系统和移动设备上的Safari浏览器也受到了影响。不过，Chrome没有受到影响，Internet Explorer和Firefox也没有受到影响。

据路透社报道，苹果公司正在为该漏洞开发补丁，并将于下周发布。当被要求确认补丁发布的时间时，苹果将ZDNet指向了《华盛顿邮报》的一篇文章。

针对Android用户的补丁可能需要更长的时间才能发布。谷歌对路透表示，已向手机制造商和运营商等Android合作伙伴提供了补丁，但尚不清楚这些合作伙伴是否或何时会将补丁推向终端用户。