Appleは土曜日、場合によってはハッカーがSSL/TSLセキュリティプロトコルを使用して送信された通信を傍受できる可能性があるOS Xの欠陥の修正に取り組んでいると発表した。同社が金曜日に公開したiOSアップデートでも同じエラーが修正された。
に提供された声明では、ロイター、 りんご確認済み研究者は、同じ SSL/TSL セキュリティ欠陥が最新のバージョンで修正されたことを発見しました。iOS7.0.2このアップデートはOS Xにも存在する。クパチーノの会社は、ソフトウェアアップデートを「すぐに」リリースできるようになる予定だと述べた。
Appleの広報担当者Trudy Muller氏は、「われわれはこの問題を認識しており、すでにソフトウェア修正版を用意しており、間もなくリリースされる予定だ」と述べた。
金曜日、Apple は iOS 7.0.2 を静かにリリースし、リリースノートにはこのソフトウェアが「SSL 接続検証の修正を提供する」と書かれていました。アップデートと同時に発行されたサポート文書には次のように書かれていました。
iOS7.0.6データセキュリティ
利用可能な機種: iPhone 4 以降、iPod touch (第 5 世代)、iPad 2 以降
影響:ネットワーク上の特権的な立場を持つ攻撃者が、SSL/TLS で保護されたセッション内のデータをキャプチャまたは変更する可能性があります。
説明: Secure Transport は接続の信頼性を検証できませんでした。この問題は、欠落している検証ステップを復元することで解決されました。
最新のパッチが適用された iOS ソフトウェアを実行していないエンド ユーザーは、共有ネットワークに接続すると攻撃を受ける可能性があります。悪意のあるユーザーは、トランスポート層セキュリティの傘下にある Secure Socket Link プロトコル経由で送信された電子メールやその他のデータを表示、変更、ダウンロードする可能性があります。
セキュリティ文書に記載されているように、iOS Secure Transport は「接続の信頼性を検証できませんでした」。この問題の核心は、安全な暗号化された接続を確立するために使用されるデジタル証明書の誤った処理と誤った認識に起因します。
iOS および OS X の場合、Apple の実装にコードが欠落しているため、これらの証明書の検証に失敗します。ユーザーが信頼できるサイトであると信じているサイトにアクセスすると、ハッカーが正規の証明書所有者を装い、接続を介して送信されるデータを実際のサイトに渡す前に収集する可能性があります。
Apple がいつこの欠陥を発見したのか正確には不明ですが、iOS バージョンの CVE (共通脆弱性および暴露) 識別コードは次のとおりです。予約され割り当てられたCVE は、既知のソフトウェア セキュリティ脆弱性に関する一般公開されている標準化されたリファレンスです。
Isamu 
Isamu 
Isamu