アップルが iOS のアップデート 7.0.6 をリリースしました。中身は「SSL接続時の検証に関する問題」の修正。iPhone 4以降, iPad 2以降, iPod touch (第5世代)それぞれに適用されます。また iOS 7に対応しない iPhone 3GS, iPod touch (第4世代) には、同じバグ修正内容の iOS 6.1.6 がリリースされています。
また複数のセキュリティ研究者によると、このSSL接続時のバグは最新版 OS X 10.9.1 にも存在しており、アップルがパッチを提供するまでは、中間者攻撃を避けるため信頼できないネットワークには接続しないことが望ましいとされています。
アップルのサポートページ (iOS 7.0.6 のセキュリティコンテンツ)
サポートページによると、問題は iOS / OS X がSLL接続時に証明書の検証をスキップするため、悪意のあるネットワークに接続すると、SSL接続と表示されていても内容が覗かれたり改変される可能性があること。
途中でどこを通るか分からないインターネットでは、目的の接続先と手元のエンドツーエンドで経路の信頼性を確保する SSL があって初めて多くのサービスが安全に利用できます。この部分にバグがあると、買い物や個人情報をやりとりする際、上のように鍵があって相手の身元が示されていても信用できなくなってしまいます。
また複数のセキュリティ研究者によると、このSSL接続時のバグは最新版 OS X 10.9.1 にも存在しており、アップルがパッチを提供するまでは、中間者攻撃を避けるため信頼できないネットワークには接続しないことが望ましいとされています。
Confirmed OSX SSL weirdness: 10.9.1 doesn't validate certs properly whereas Linux does (ht @NCWeaver) pic.twitter.com/KrdWOXOLIO
- ashkan soltani (@ashk4n) February 22, 2014Ok, yes, the iOS/OS X bug does break SSL completely. Like @matthew_d_green I'm going to keep quiet. Patch quickly.
- Adam Langley (@agl__) February 22, 2014Latest Apple 10.9.2 developer build still vulnerable to SSL bug at least via the @agl__ checker. Booting to windows for the duration.
- Ryan Lackey (@octal) February 22, 2014アップルのサポートページ (iOS 7.0.6 のセキュリティコンテンツ)
サポートページによると、問題は iOS / OS X がSLL接続時に証明書の検証をスキップするため、悪意のあるネットワークに接続すると、SSL接続と表示されていても内容が覗かれたり改変される可能性があること。
途中でどこを通るか分からないインターネットでは、目的の接続先と手元のエンドツーエンドで経路の信頼性を確保する SSL があって初めて多くのサービスが安全に利用できます。この部分にバグがあると、買い物や個人情報をやりとりする際、上のように鍵があって相手の身元が示されていても信用できなくなってしまいます。
0 comments:
コメントを投稿