发布日期：2014-09-24
更新日期：2014-11-14

受影响系统：

Android Android

描述：

---

Android是基于Linux开放性内核的手机操作系统。

Android klassens应用未验证SSL服务器的X.509证书，中间人攻击者通过构造的证书可获取敏感信息。

<*来源：Will Dorman
  *>

建议：

---

厂商补丁：

Android
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=134807561
http://www.cert.org/vulnerability-analysis/tools/cert-tapioca.cfm
http://www.cert.org/blogs/certcc/post.cfm?EntryID=203
http://www.cert.org/blogs/certcc/post.cfm?EntryID=204
https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing
http://www.fireeye.com/blog/technical/2014/08/ssl-vulnerabilities-who-listens-when-android-applications-talk.html
http://developer.android.com/training/articles/security-ssl.html
http://www.ftc.gov/news-events/press-releases/2014/03/fandango-credit-karma-settle-ftc-charges-they-deceived-consumers
http://android-ssl.org/
http://android-ssl.org/files/p49.pdf
http://android-ssl.org/files/p50-fahl.pdf
http://cwe.mitre.org/data/definitions/295.html
http://cwe.mitre.org/data/definitions/296.html

浏览次数：2183
严重程度：0（网友投票）