iOS7.0.6のセキュリティアップデート対象のバグ(脆弱性)がMacのOS X Mavericksにも存在することが判明

  • ブックマーク
  • Feedly
  • -
    コピー

当ブログ記事でもお伝えしたとおり、
昨日AppleがiOS7.0.6とiOS6.1.6、そしてApple TV 6.0.2をリリースし、
SSL/TLSの接続検証セキュリティのバグを修正した。

iOS7.0.6で修正された脆弱性はかなり深刻

このセキュリティバグ(脆弱性)は、
同じ共有ネットワーク上で特権をもった攻撃者が、
SSL/TLSで保護されたデータを取得したり改変できるようになってしまうというものだ。
そしてこのセキュリティバグは深刻なもので、
Twitter上でもiOS脱獄ハッカーが早めのiOS7.0.6へのアップデートを推奨していることも、
当ブログ記事でお伝えしたとおり。

実はiOSだけではなかった!OS X Mavericksにも影響

実はこのセキュリティバグはiOSやApple TV OSのみでなく、
同様にMacのOS Xユーザにも影響することがわかった。
セキュリティ研究機関Crowdstrikeのブログ記事において明かされた情報によると、
彼らがOS Xの中でも同様の問題を発見しており、
攻撃者がSSL/TLS認証ルートを回避することができることがわかったという。

24

また同じくセキュリティ研究社のAshkan Soltaniによっても、
自身のOS X Mavericksの中に同様のセキュリティホールがあることが実証されている。

そして、この脆弱性はOS X 10.8にはないという(つまりOS X Mavericksだけの問題だということになる)

非公式修正パッチもリリース(但し完全自己責任)

なお、上述のAshkan Soltaniによる紹介で、
上記のOS X Mavericksの脆弱性については、
脱獄ハッカー@i0n1cによって、非公式の修正パッチがリリースされている。

詳細はこちらから。
Apple OSX Mavericks 10.9.x SSL Key Exchange Verification Vulnerability (CVE-2014-1266)
パッチのダウンロードはこちらから。

ちなみにこれはリスクのあるパッチの方法であり、
これについては一切質問を受け付けないので、
導入に関してはよくサイトをご覧いただいてご判断いただきたい。

まとめ:Appleの公式対応を待つべし

Appleは現在この問題について認識しており、
OS X 10.9.2のアップデートのテストをしているところということだが、
OS X 10.9.2のリリース時期については来週中というような情報がある。

しかし上記の脆弱性は非常に大きな問題なので、
AppleはOS X 10.9.2リリース時期を早める可能性がある(単にこのセキュリティバグの修正だけを行う可能性もある)。

OS X Mavericksを使用している人は、
OS X 10.9.2がリリースされたらすぐにでもアップデートすべきだ。
そして10.9.2にアップデートするまでは、
できるだけデバイスを外部の共有ネットワークに接続しないように心がけた方がいいかもしれない。

記事は以上。

Visited 56 times, 1 visit(s) today
  • ブックマーク
  • Feedly
  • -
    コピー

この記事を書いた人