更新: Apple は翌日、SSL バグの修正を含んだ OS X 10.9.2 をリリースしました。

Apple が iOS の SSL バグを修正した後、脆弱性がコードの 1 行のエラーによって生じたことがロイター によって明らかにされてから 3 日が経過しても OS X の修正が行われない理由は不明です。

問題は、銀行サイト、GoogleのGmailサービス、Facebookなどが暗号化接続を確立するために使用するデジタル証明書を、このソフトウェアが認識する方法にあります。プログラム内のたった1行と括弧の省略によって、これらの証明書は全く認証されておらず、ハッカーは目的のウェブサイトを偽装し、本物のサイトに渡す前にすべての電子トラフィックを傍受できるのです。

このバグは Apple の SSL 認証コードに存在するため、Safari だけでなくさまざまなアプリが脆弱になります。 

セキュリティ研究者のアシュカン・ソルタニ氏（  Forbes経由）は自身のシステムにインストールされているアプリをテストし、 メール、Twitter、Facetime、iMessage、さらにはAppleのソフトウェア更新メカニズムもこのバグの影響を受けることを発見した。

一部の陰謀論者は、AppleがNSAに利用させるために意図的にバグを仕込んだと主張していました。しかし、このコードはAppleのオープンソースコンポーネントの一部であり、誰でも閲覧可能だったため、この説はほぼあり得ないでしょう（Appleは明確に否定しています）。しかし、  Fortune誌は 、バグがiOS 6で初めて出現したタイミングから、NSAがこのバグを認識し、悪用した可能性を示唆していると指摘しています。

• 2012年9月24日：iOS 6.0がリリースされました
• 2012年10月：AppleがNSAの侵入サーバーリストに追加される
• 2012年12月1日から2013年5月31日: Appleは9,000から10,000のアカウントとデバイスに関する4,000から5,000のリクエストを受け取りました。

Appleは以前、「近日中に」修正を約束する声明を発表しましたが、本稿執筆時点ではまだアップデートは提供されていません。 バグが修正されるまでは、公衆Wi-Fiホットスポット経由で安全なサイトにアクセスしないことをお勧めします。

最近退社したAppleのセキュリティアナリスト、クリスティン・パジェット氏は、Appleに対する痛烈かつ厳しい批判を次のように述べた。

親愛なるAppleさん、現状を直してください。

よし、iOS 7.0.6がリリースされた。簡単に言うと、AppleがSSLを破ったってことだ。おっと。まあ、そういうこともあるさ。パッチを当てて、などなど。

対応していないのは、対応する OS X パッチです。少なくとも今のところは。

一体全体、一体何をしているんだ、アップル！？！？！？ マジで、自社のプラットフォームのひとつを使って、別のプラットフォームにSSLゼロデイ脆弱性を仕込んだのか？ 僕は今、Macの前に座っているが、この脆弱性に対して脆弱で、両プラットフォームに同時にパッチをリリースできないから、何もできないのか？ 現時点で、この脆弱性を悪用するエクスプロイトが大量に出回っているのは知っているよね？ アップルの勧告は完全にiOSに焦点を当てているため、OS Xについてはまだ何もわかっていない（エクスプロイトが機能するという事実以外）。OS Xのどの部分が脆弱なのか教えてもらえるかな？ mail.appは脆弱なのか？ 悪意のあるSSL/TLSメールサーバーを心配する必要があるのか​​？ アップルのアップデートシステム自体はどうなっているのか？ 脆弱性はあるのだろうか？

おいおい、Apple。ひどいゼロデイ攻撃を仕掛けて、週末は家に帰ったのかよ。本当に失敗作だ。

自分のクソを直せ。

すぐ。

お願いします？

いつものように愛と抱擁を。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。