Apple Mac OS X OpenSSL证书验证安全限制绕过漏洞(CVE-2014-2234

发布日期：2014-03-03
更新日期：2014-03-12

受影响系统：
Apple Mac OS X <= 10.9.2
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 65989
CVE(CAN) ID: CVE-2014-2234

OS X（前称Mac OS X）是苹果公司为麦金塔电脑开发的专属操作系统的最新版本。

Apple OS X 10.9.2及更早版本的某个针对OpenSSl的Apple补丁使用了“信任评估代理”TEA功能，而没有终止SSL_CTX_set_verify回调函数文档内指定的TLS、SSL握手，这可使远程攻击者通过TEA可以接受、但应用无法接受的证书链，利用该漏洞绕过自定义应用内的其他验证。

<*来源：Hynek Schlawack
 
  链接：https://hynek.me/articles/apple-openssl-verification-surprises/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apple
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.apple.com/support/downloads/