
更新: Apple は OS X の修正が間もなくリリースされると発表しました。
Appleは昨日、iOS 6とApple TV向けの新ビルドと共にiOSアップデート7.0.6をリリースしました。同社によると、このアップデートには「SSL接続検証の修正」が含まれているとのことです。Appleはこのバグについて具体的な情報を提供していませんでしたが、すぐにHacker Newsのトップでその答えが報じられました。この軽微なセキュリティ修正は、実は重大な欠陥であり、理論上は攻撃者が影響を受けるブラウザとほぼすべてのSSL保護サイト間の通信を傍受できる可能性があることが判明しました。さらに、このバグはAppleがまだセキュリティパッチをリリースしていないOS Xの最新ビルドにも存在しています。
CrowdStrike の研究者はレポートの中でこのバグについて次のように説明しています。
この攻撃を成功させるには、攻撃者が中間者(MitM)ネットワーク接続を行える必要があります。これは、攻撃者が被害者と同じ有線または無線ネットワーク上に存在していれば可能です。iOSおよびOS Xプラットフォームの認証ロジックに欠陥があるため、攻撃者は最初の接続ハンドシェイク時にSSL/TLS検証ルーチンをバイパスできます。これにより、攻撃者はお気に入りのウェブメールプロバイダーなどの信頼できるリモートエンドポイントからのアクセスを装い、ユーザーと宛先サーバー間の暗号化トラフィックを完全に傍受し、通信中のデータを改ざんする能力(例えば、システムを制御するためのエクスプロイトを配信するなど)を獲得することが可能になります。
Google のシニア ソフトウェア エンジニアである Adam Langley 氏も、自身のブログ ImperialViolet でこの欠陥について書き、バグがあるかどうかを確認するためのテスト サイトを作成しました (上の画像)。
これはSecureTransportに存在するため、iOS 7.0.6より前のバージョン(7.0.4で確認)とOS X(10.9.1で確認)に影響します。SecureTransportを使用するすべてのソフトウェアに影響します。これらのプラットフォーム上のほとんどのソフトウェアが対象となりますが、 SSL/TLSにNSSを使用するChromeとFirefoxは対象外です。ただし、例えばお使いのマシンのソフトウェアアップデートシステムがSecureTransportを使用している可能性がある場合、この脆弱性はあまり意味を持ちません…。
https://www.imperialviolet.org:1266 に簡単なテストサイトを作成しました。ポート番号(CVE番号)にご注意ください。通常のサイトはポート443で動作しており、正常に動作するはずです。ポート1266では、サーバーは同じ証明書を送信していますが、全く異なる鍵で署名しています。ポート1266でHTTPSサイトが読み込める場合は、このバグが発生しています。
Appleが昨日リリースしたiOSアップデートでこの問題は修正される見込みで、ラングレー氏もそのことを確認しましたが、OS X 10.9.1は依然としてリスクが残っています。このバグが発生しているかどうかを確認するためのテストサイトはこちらです。
一部のユーザーは、Apple の最新の開発者ビルド 10.9.2 にも依然として脆弱性が残っていると報告しています。
[ツイート https://twitter.com/octal/status/437241194779652096]
Apple 社はまだこの状況について直接コメントしておらず、OS X ユーザー向けの修正プログラムのリリース予定日も発表していない。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。