アップルが iOS のアップデート 7.0.6 をリリースしました。中身は「SSL接続時の検証に関する問題」の修正。iPhone 4以降, iPad 2以降, iPod touch (第5世代)それぞれに適用されます。また iOS 7に対応しない iPhone 3GS, iPod touch (第4世代) には、同じバグ修正内容の iOS 6.1.6 がリリースされています。

また複数のセキュリティ研究者によると、このSSL接続時のバグは最新版 OS X 10.9.1 にも存在しており、アップルがパッチを提供するまでは、中間者攻撃を避けるため信頼できないネットワークには接続しないことが望ましいとされています。



アップルのサポートページ (iOS 7.0.6 のセキュリティコンテンツ)

サポートページによると、問題は iOS / OS X がSLL接続時に証明書の検証をスキップするため、悪意のあるネットワークに接続すると、SSL接続と表示されていても内容が覗かれたり改変される可能性があること。




途中でどこを通るか分からないインターネットでは、目的の接続先と手元のエンドツーエンドで経路の信頼性を確保する SSL があって初めて多くのサービスが安全に利用できます。この部分にバグがあると、買い物や個人情報をやりとりする際、上のように鍵があって相手の身元が示されていても信用できなくなってしまいます。
アップル iOS 7.0.6提供開始、SSLの脆弱性を修正。OS X にも同じバグ発覚
広告

0 コメント

広告