当ブログ記事でもお伝えしたとおり、
昨日AppleがiOS7.0.6とiOS6.1.6、そしてApple TV 6.0.2をリリースし、
SSL/TLSの接続検証セキュリティのバグを修正した。
iOS7.0.6で修正された脆弱性はかなり深刻
このセキュリティバグ(脆弱性)は、
同じ共有ネットワーク上で特権をもった攻撃者が、
SSL/TLSで保護されたデータを取得したり改変できるようになってしまうというものだ。
そしてこのセキュリティバグは深刻なもので、
Twitter上でもiOS脱獄ハッカーが早めのiOS7.0.6へのアップデートを推奨していることも、
当ブログ記事でお伝えしたとおり。
実はiOSだけではなかった!OS X Mavericksにも影響
実はこのセキュリティバグはiOSやApple TV OSのみでなく、
同様にMacのOS Xユーザにも影響することがわかった。
セキュリティ研究機関Crowdstrikeのブログ記事において明かされた情報によると、
彼らがOS Xの中でも同様の問題を発見しており、
攻撃者がSSL/TLS認証ルートを回避することができることがわかったという。
また同じくセキュリティ研究社のAshkan Soltaniによっても、
自身のOS X Mavericksの中に同様のセキュリティホールがあることが実証されている。
Confirmed OSX SSL weirdness: 10.9.1 doesn't validate certs properly whereas Linux does (ht @NCWeaver) pic.twitter.com/KrdWOXOLIO
— ashkan soltani (@ashk4n) 2014, 2月 22
Confirmed Mail.app on OSX 10.9.1 is vulnerable to Apple #gotofail TLS/SSL bug
(demo using @agl__ test url) pic.twitter.com/PAGpMG5oD1
— ashkan soltani (@ashk4n) 2014, 2月 22
そして、この脆弱性はOS X 10.8にはないという(つまりOS X Mavericksだけの問題だということになる)
I believe Apple SSL bug affects Mavericks 10.9.0-1 but not 10.8.x ('goto fail' is in Security-55471 but not 55179.13) http://t.co/8pKW7ck6gd
— ashkan soltani (@ashk4n) 2014, 2月 22
非公式修正パッチもリリース(但し完全自己責任)
なお、上述のAshkan Soltaniによる紹介で、
上記のOS X Mavericksの脆弱性については、
脱獄ハッカー@i0n1cによって、非公式の修正パッチがリリースされている。
詳細はこちらから。
Apple OSX Mavericks 10.9.x SSL Key Exchange Verification Vulnerability (CVE-2014-1266)
パッチのダウンロードはこちらから。
ちなみにこれはリスクのあるパッチの方法であり、
これについては一切質問を受け付けないので、
導入に関してはよくサイトをご覧いただいてご判断いただきたい。
まとめ:Appleの公式対応を待つべし
Appleは現在この問題について認識しており、
OS X 10.9.2のアップデートのテストをしているところということだが、
OS X 10.9.2のリリース時期については来週中というような情報がある。
しかし上記の脆弱性は非常に大きな問題なので、
AppleはOS X 10.9.2リリース時期を早める可能性がある(単にこのセキュリティバグの修正だけを行う可能性もある)。
OS X Mavericksを使用している人は、
OS X 10.9.2がリリースされたらすぐにでもアップデートすべきだ。
そして10.9.2にアップデートするまでは、
できるだけデバイスを外部の共有ネットワークに接続しないように心がけた方がいいかもしれない。
記事は以上。