cURL 開發(fā)者丹尼爾上周在博客中發(fā)布了一篇文章抨擊蘋果 “篡改” cURL 導(dǎo)致的蘋果 “安全問題”，這個(gè)問題最初是篡改篡改 2023 年 12 月有用戶提交的，跟蹤 ID 為 12604。行為性藍(lán)云南約炮（約上門服務(wù)）【電話微信1662+044-1662】提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)

丹尼爾針對該問題進(jìn)行調(diào)查后發(fā)現(xiàn)這并不是引起 cURL 的問題，而是滿種蘋果在部署中進(jìn)行了一些修改，為此丹尼爾發(fā)郵件給蘋果，實(shí)際蘋果安全團(tuán)隊(duì)還表示有意這么干的弱化，不需要 “修復(fù)”。安全

大概情況是點(diǎn)網(wǎng)云南約炮（約上門服務(wù)）【電話微信1662+044-1662】提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)這樣的：

cURL 允許開發(fā)者使用參數(shù) –cacert 來指定一組 CA 證書，如果 TLS 服務(wù)器無法對這組證書進(jìn)行驗(yàn)證時(shí)，蘋果那么應(yīng)該失敗并返回錯(cuò)誤。篡改篡改

這種特殊行為早在 2000 年 12 月就已經(jīng)添加到了 cURL 中，行為性藍(lán)這讓開發(fā)者可以只對特定的引起 CA 證書進(jìn)行信任，而不是滿種信任所有有效的 CA 證書，比如防止某些 CA 因?yàn)閷徍瞬粐?yán)導(dǎo)致簽發(fā)錯(cuò)誤證書進(jìn)行劫持。實(shí)際

在 macOS 中，開發(fā)者仍然可以使用這個(gè)參數(shù)，但蘋果的處理方法是檢查系統(tǒng)的 CA 存儲庫，也就是直接驗(yàn)證蘋果在 macOS 中指定的那組 CA 證書，而不是開發(fā)者指定的一組 CA 證書。

因此當(dāng)開發(fā)者使用一組進(jìn)行編輯的特定 CA 證書時(shí)，正常情況下不包含在這組 CA 證書中的證書那應(yīng)該失敗，但如果這個(gè) / 這些證書位于 macOS 存儲庫中，那么 cURL 不會返回失敗。

所以這實(shí)際上是一個(gè)安全缺陷。

針對此問題丹尼爾在 2023 年 12 月 29 日向蘋果安全團(tuán)隊(duì)報(bào)告，這不是一個(gè)大問題，但確實(shí)是個(gè)問題。

直到 2024 年 3 月 8 日蘋果才回復(fù)郵件：

Apple 版本的 OpenSSL (LibreSSL) 有意使用內(nèi)置系統(tǒng)信任存儲作為默認(rèn)信任源，由于可以使用內(nèi)置系統(tǒng)存儲成功驗(yàn)證服務(wù)器證書，因此我們認(rèn)為不需要在我們的平臺中解決。

對于這個(gè)說法丹尼爾并不同意，因?yàn)閷?shí)際上這篡改了 cURL，這個(gè)未記錄的功能使得 macOS 用戶使用 cURL 時(shí)，CA 驗(yàn)證完全不可靠并且與 cURL 的文檔不符，這是蘋果在欺騙用戶。

問題是這并不是 cURL 的問題，因此丹尼爾無法發(fā)布 CVE 或任何內(nèi)容，于是現(xiàn)在問題陷入了僵局。