reynotch

reynotch

-
 2014年2月22日、Appleから唐突に「iOS 7.0.6」、「iOS 6.1.6」が公開されました。
 
ios706.jpg

 
 事前の通知はなく、iPhone 上でどのようなアップデートかを見ても
 

このセキュリティアップデートによりSSL接続時の検証に関する問題が修正されます。

 

 とあるだけでよくわかりません。
 
 そこで、Appleのサイトで確認してみると、さらっと重要な事が書いてあります。


Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.
About the security content of iOS 7.0.6



 これによると、「SSL/TLSで保護されているデータをキャプチャしたり、書き換えることができる」とあります。これはとんでもないことです。このアップデートでは「SSLの信頼性を検証できなかったが、なくなった確認ステップを元に戻すことによって対処された」とあり、どうやらSSLの検証フェーズに問題があったようです。
 
 Wiredが調査したところによると、なんと、「コード中の不要なgoto文」が原因だったとしています

Behind iPhone's Critical Security Bug, a Single Bad 'Goto' | Threat Level | Wired.com
Like everything else on the iPhone, the critical crypto flaw announced in iOS 7 yesterday turns out to be a study in simplicity and elegant design: a single spurious “goto” in one part of Apple’s authentication code that accidentally bypasses the rest of it.



 この「不要なgoto文」のために認証プロトコルの重要な部分がスキップされてしまうそうです。
 
 今回のアップデート適用前のiOS 6およびiOS 7搭載機器(iPhone 4以降およびiPod touch 5th、iPad 2以降)では、脆弱性を悪用されると、本来暗号化されていて安全なはずの通信が盗聴および改ざんされる可能性があります。
 
 これはかなり深刻な脆弱性です。
 
 「iOS 7.0.6」にアップデートしていない方は早急にアップデートしましょう。

 アップデートには少なからずリスクがともなうので、事前にバックアップを取るなど準備を整えてから行うようにしましょう。
 
 もし、アップデート出来ない場合は、アップデートするまでインターネットの利用は避ける必要があります
 
 さらに「Apple Insider」によると、このバグは「Mac OS X 10.9.1」にも存在するそうです。ということは、Macでのインターネット利用時にも危険があります。
 
Apple confirms OS X contains same SSL security flaw patched with iOS 7.0.6, says fix coming 'very soon'
Apple on Saturday said it is working to fix a flaw in OS X that could in some cases allow hackers to intercept communication sent using SSL/TSL security protocols. The same error was patched in an iOS update the company rolled out on Friday.



 これだけ重大な脆弱性であるにも関わらず、Appleからの情報提供は相変わらずほとんどありません。
 
 iPhone/iPad mini/iPadユーザだけでなく、Mac OS Xユーザも注意をしましょう。

※2014/2/26追記
 「Safari 6.1.2 and Safari 7.0.2」のアップデートでMacも修正されました。「OS X Mavericks v10.9.2 Update」に「Safari 7.0.2」も含まれます。

関連記事


【注意】AppleのCoreTextバグを悪用し、iOSアプリやOS Xアプリをクラッシュさせるいたずらが横行 : I believe in technology
AppleのCoreTextバグにより、あるアラビア文字を入力するとiOSとOS Xアプリがクラッシュする問題ですが、あちこちでいたずら目的で書き込むケースが増えています。



iOS 6.1.2 が公開されたけど、今回はアップデート見送ろうかな : I believe in technology
OSのアップデートは少なからずリスクがともなうので、今回のアップデートは私は見送るつもりです。 次のiOS 6.1.3を待とうかな。



続報


iOSの脆弱性はSSLだけじゃない。キーストロークを監視し、外部に送れるアプリをiOS端末にインストールできることが発見される : I believe in technology
しかし、iOSの抱えるセキュリティ問題はこれだけではありません。セキュリティベンダー「FireEye」がiOSには別のセキュリティ上の欠陥があると同社のブログで主張しています。

Posted by