●概述：
Pulse Secure, LLC過往隸屬Juniper Networks的Junos Pulse產品線，後由Siris Capital收購，專職開發SSL VPN遠端存取服務，近期檢測Pulse Secure(Linux版)用戶端程式GUI，發現安全性弱點，囿於WebKit忽視SSL錯誤事件，且WebKit組態凌駕JavaScript，導致程式疏於嚴謹查驗SSL憑證，無法警覺駭客介入GUI與VPN伺服器之間，任意變造連線內容，欺騙受害者誤信圖形介面所示資訊，據稱該公司企業客戶約2萬，包括數所國立大學，此漏洞應有一定影響規模，Pulse Secure已完成升級版軟體，使用者可趁此契機，養成安全操作習慣，選擇適合網路環境，或者練習傳統指令。
●編註：
(1)適用Linux平台的Pulse Secure用戶版，其圖形使用介面(GUI)運用WebKit元件生效，而WebKit運作優先於JavaScript功能，偏偏在Linux上，Pulse Secure圖形介面的WebKit設定為忽略SSL檢驗錯誤，意即當GUI連線至不可靠網路環境中的VPN server，對SSL憑證錯誤亦無告警，駭客可居間發動Man in the Middle式攻擊，製造新連線或更改既存連線，甚至竄改歡迎語，影響Pulse Secure使用者在圖形介面所見結果，嚴重者尚能誘導用戶連線至陷阱VPN server。
(2)經查國內數所公立大學採用Pulse Secure，提供校外存取學術資源之VPN管道，建議檢查現用版本，習慣操作Linux的師生，可調整使用習慣，以CLI替代GUI，CLI就是命令列，別用到webkit即可；或者避免於不受信任網路環境(公眾場合免費WIFI)使用Linux版Pulse Secure的SSL VPN，減少受害機會。