流行的android社群mod cyanogenmod因為複用了有漏洞的樣本代碼而被發現容易受到中間人攻擊。存在漏洞的樣本代碼來自甲骨文的 java 1.5,用于解析證書擷取主機名。一名匿名的安全研究員稱,cyanogenmod 開發者拷貝粘貼了代碼。他在搜尋 github 後發現有許多項目同樣複用 了漏洞代碼。漏洞早在2012年就披露了,與缺乏ssl主機名驗證有關,它允許攻擊者在ssl證書中使用任意的主機名,為中間人攻擊開辟了道路。
流行的android社群mod cyanogenmod因為複用了有漏洞的樣本代碼而被發現容易受到中間人攻擊。存在漏洞的樣本代碼來自甲骨文的 java 1.5,用于解析證書擷取主機名。一名匿名的安全研究員稱,cyanogenmod 開發者拷貝粘貼了代碼。他在搜尋 github 後發現有許多項目同樣複用 了漏洞代碼。漏洞早在2012年就披露了,與缺乏ssl主機名驗證有關,它允許攻擊者在ssl證書中使用任意的主機名,為中間人攻擊開辟了道路。
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)