▼ 2014/02/25(火) iOS 7.0.6、6.1.6、Apple TV 6.0.2 公開。重大な欠陥を修正
【マルチOS】
iOS 7.0.6、6.1.6、Apple TV 6.0.2 が公開されました。SSL/TLS 接続時に偽物のサイトを検出できないという、重大な欠陥が修正されています。
- About the security content of iOS 7.0.6 (Apple)
- About the security content of iOS 6.1.6 (Apple)
- About the security content of Apple TV 6.0.2 (Apple)
- Apple's SSL/TLS bug (22 Feb 2014) (ImperialViolet)
iPhone、iPad、iPod touch、Apple TV 利用者は速やかに更新してください。
同じ欠陥が Mac OS X 10.9、10.9.1 にも存在することが判明しています。しかし修正プログラムはまだ開発中です。
Google Chrome や Firefox は独自の SSL/TLS ライブラリを使用しているため、この欠陥の影響を受けません。少なくとも修正されるまでは、Mac OS X 10.9.x では OS 標準の Web ブラウザである Safari は使わず、Google Chrome や Firefox を使って Web サイトを閲覧してください。
関連: アップルのセキュリティの脆弱性の影響を受けるOS Xアプリ一覧 (gizmode)
欠陥の影響を確認したい場合は、偽物サイトをデモしている、https://www.imperialviolet.org:1266/ に接続してみてください。正常に接続できてしまう場合は、欠陥の影響を受けています。
2014.02.27 追記
Mac OS X 10.9、10.9.1 については、OS X Mavericks v10.9.2 で修正されました。Mac OS X 10.9.x 利用者は、ソフトウェアアップデートを使って更新してください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0656/tb/