關於安全性更新 2011-002

本文說明安全性更新 2011-002。

本文說明安全性更新 2011-002，你可以透過「軟體更新」偏好設定，或是從「Apple 下載項目」下載並安裝。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性，請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，CVE ID 會用來參考安全漏洞，以取得進一步資訊。

若要了解其他安全性更新，請參閱「Apple 安全性更新」。

安全性更新 2011-002

• Certificate Trust Policy

  適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.7、Mac OS X Server v10.6.7

  影響：具有網路特殊權限的攻擊者可能攔截使用者憑證或其他敏感資訊

  說明：Comodo 相關註冊授權單位核發了多個詐騙 SSL 憑證。這可讓攔截式攻擊者重新導向連線，並攔截使用者憑證或其他敏感資訊。將詐騙憑證列入黑名單後，已解決此問題。

  附註：針對 iOS，此問題已在 iOS 4.3.2 和 iOS 4.2.7 解決。針對 Windows 系統，Safari 會仰賴儲存在主機作業系統中的憑證，藉此判斷 SSL 伺服器憑證是否值得信任。套用 Microsoft 知識庫文章 2524375 中說明的更新，可讓 Safari 將這些憑證視為不可信任。如需參閱這篇文章，請造訪 http://support.microsoft.com/kb/2524375