当ブログ記事でもお伝えしたとおり、
昨日AppleがiOS7.0.6とiOS6.1.6、そしてApple TV 6.0.2をリリースし、
SSL/TLSの接続検証セキュリティのバグを修正した。

iOS7.0.6で修正された脆弱性はかなり深刻

このセキュリティバグ（脆弱性）は、
同じ共有ネットワーク上で特権をもった攻撃者が、
SSL/TLSで保護されたデータを取得したり改変できるようになってしまうというものだ。
そしてこのセキュリティバグは深刻なもので、
Twitter上でもiOS脱獄ハッカーが早めのiOS7.0.6へのアップデートを推奨していることも、
当ブログ記事でお伝えしたとおり。

実はiOSだけではなかった！OS X Mavericksにも影響

実はこのセキュリティバグはiOSやApple TV OSのみでなく、
同様にMacのOS Xユーザにも影響することがわかった。
セキュリティ研究機関Crowdstrikeのブログ記事において明かされた情報によると、
彼らがOS Xの中でも同様の問題を発見しており、
攻撃者がSSL/TLS認証ルートを回避することができることがわかったという。

また同じくセキュリティ研究社のAshkan Soltaniによっても、
自身のOS X Mavericksの中に同様のセキュリティホールがあることが実証されている。

Confirmed OSX SSL weirdness: 10.9.1 doesn't validate certs properly whereas Linux does (ht @NCWeaver) pic.twitter.com/KrdWOXOLIO

— ashkan soltani (@ashk4n) 2014, 2月 22

Confirmed Mail.app on OSX 10.9.1 is vulnerable to Apple #gotofail TLS/SSL bug (demo using @agl__ test url) pic.twitter.com/PAGpMG5oD1

— ashkan soltani (@ashk4n) 2014, 2月 22

そして、この脆弱性はOS X 10.8にはないという（つまりOS X Mavericksだけの問題だということになる）

I believe Apple SSL bug affects Mavericks 10.9.0-1 but not 10.8.x ('goto fail' is in Security-55471 but not 55179.13) http://t.co/8pKW7ck6gd

— ashkan soltani (@ashk4n) 2014, 2月 22

非公式修正パッチもリリース（但し完全自己責任）

なお、上述のAshkan Soltaniによる紹介で、
上記のOS X Mavericksの脆弱性については、
脱獄ハッカー@i0n1cによって、非公式の修正パッチがリリースされている。

詳細はこちらから。
Apple OSX Mavericks 10.9.x SSL Key Exchange Verification Vulnerability (CVE-2014-1266)
パッチのダウンロードはこちらから。

ちなみにこれはリスクのあるパッチの方法であり、
これについては一切質問を受け付けないので、
導入に関してはよくサイトをご覧いただいてご判断いただきたい。

まとめ：Appleの公式対応を待つべし

Appleは現在この問題について認識しており、
OS X 10.9.2のアップデートのテストをしているところということだが、
OS X 10.9.2のリリース時期については来週中というような情報がある。

しかし上記の脆弱性は非常に大きな問題なので、
AppleはOS X 10.9.2リリース時期を早める可能性がある（単にこのセキュリティバグの修正だけを行う可能性もある）。

OS X Mavericksを使用している人は、
OS X 10.9.2がリリースされたらすぐにでもアップデートすべきだ。
そして10.9.2にアップデートするまでは、
できるだけデバイスを外部の共有ネットワークに接続しないように心がけた方がいいかもしれない。

記事は以上。