昨日の記事でAppleが昨日未明にiOS7.0.6をリリースし、
SSL/TLS接続関係のバグを修正したとお伝えしたが、
その後多くの著名な脱獄ハッカー達がTwitter上で、
この最新のiOS7.0.6への一刻でも早いアップデートを推奨している。
その例を2つほど挙げてみよう。

脱獄ハッカー達のTwitter上のつぶやき

■@chronicの発言

update your device to iOS 7.0.6 if you have not done so already. this is absolutely essential, do it now.

— Will Strafach (@chronic) 2014, 2月 22

■@winocmの発言

Reiteration reminder: Please update to iOS 7.0.6 as soon as possible.

— winocm (@winocm) 2014, 2月 22

なぜ早急にiOS7.0.6へのアップデートが推奨されるのか

気になるのはなぜ脱獄ハッカーがiOS7.0.6へのアップデートを推奨しているのかということだ。
その答えは以下の2名のTwitter上での発言を見ればわかる。

■@stevestrezaの発言

Update your iPhones/iPads now. The SSL bug is really bad. Always brace your if statements. https://t.co/eyeDvhwAV9 pic.twitter.com/lEgUdqZChu

— Steve Streza (@SteveStreza) 2014, 2月 22

■@mdzの発言

Ah, this Apple TLS bug brings back such fond memories of CVE-2008-0166 http://t.co/yjukvGtsyY #cryptonightmares

— Matt Zimmerman (@mdz) 2014, 2月 22

要は、今回iOS7.0.6へのアップデートで修正されたSSL/TLS認証のバグは、
実は非常に深刻で最悪のバグだということだ。
修正しないと、このバグを知っている攻撃者がiOS7.0.5以下のデバイスを攻撃できるようになる。

ちなみに@i0n1cは既にバイナリパッチ（Binary Patch）によってAppleのSSLバグを修正しているという。
早めのパッチの公開が待たれるところだ。
※少なくともCydiaの中でパッチを公開してほしいところだ。

■@i0n1cの発言

So I binary patched my Security.framework to be immune to the Apple SSL bug…

— Stefan Esser (@i0n1c) 2014, 2月 22

脱獄犯にとってのiOS7.0.6アップデート

とはいえ脱獄犯としてはevasi0n7が正式にiOS7.0.6に対応するまでは、
なかなかアップデートしたくないのが本音だ。
もちろん脱獄していない人はすぐにでもiOS7.0.6へのアップデートをすることを推奨したい。

また、iOS7対応の完全脱獄ツール「evasi0n7」は恐らく一両日中にiOS7.0.6対応になると思われる。
というのもiOS7.0.6ではevasi0n7のiOS7完全脱獄に使われるセキュリティホールは塞がれておらず、
既にevasi0n7 1.0.5を改造し対応バージョン部分をいじるだけで、
脱獄に成功している人がいるからだ。
iOS7.0.5がリリースされた時も一両日中にevasi0n7がアップデートされたことを考えると、
今回もすぐに対応するのではないかと思われる。

記事は以上。