[[109026]]

先前蘋果曾宣布發現一個 iOS 加密系統中的關鍵漏洞，需要盡快修復，接著其他研究者發現這個漏洞同樣存在于 OSX 和 Safari 中。

現在另一位研究者還發現，這個漏洞的影響遠不止是瀏覽器， Mail 、 Facetime 、 iMessage 甚至蘋果內置的軟件升級系統都受到影響。

上周日，隱私保護研究員 Ashkan Soltani 在 Twitter 上貼出了一部分使用了同一 TLS 和 SSL 加密代碼庫的軟件。他用紅線在圖中標出了軟件名稱，可以看出諸多內置軟件都名列其中。

Soltani 表示，通過中間人攻擊（man in the middle attack），黑客可以在用戶不知曉的情況下安裝監控軟件。更火上澆油的是蘋果軟件升級系統也受到了影響，也就是說蘋果給 iOS 和 OSX 推送軟件安全更新的工具也可能被黑客攻陷。

而說起這個漏洞的源頭，則是一個活生生的“論良好程序架構”例子。這個被安全社區命名為“ gotofail ”的漏洞源于蘋果軟件代碼中一個使用不當的“ goto ”語句——幾乎所有學習過程序設計的人都被告知應竭力避免使用臭名昭著的 goto 語句。

[[109027]]

安全公司 Crowdstrike 及 Google 的工程師迅速分析了這個漏洞，發現它同樣存在與 OSX 中，工程師們建議大家在蘋果修復該漏洞前遠離不被信任的網絡鏈接，并盡量不要使用 Safari 。

隨著漏洞帶來的影響越來越大，蘋果也已經表示將會“迅速”發布一個補丁。但考慮到眾多受此影響的軟件需要修復，這個補丁可能不會太快推出。