2014年2月~4月「トランスポート層セキュリティ」に関する5つのストーリー
すべてのストーリーを見る
- AAPL社
- iOS
- iPad
- iOSデバイス
- iPhone
奇妙なバグにより、一部のストリーミングビデオアプリでコンテンツの再生が停止しました
2014年4月17日午前5時14分(太平洋標準時)
BBCが報じたように、iOSの一部動画アプリが本日、不可解な理由で動作を停止しました。動画のストリーミング再生が失敗し、上記のようなエラーメッセージが表示されます。原因はまだ不明ですが、このバグはBBC iPlayerやSky Goなど、英国で人気の高い複数のアプリに影響を及ぼしています。この問題が他の地域にも広がっているかどうかはまだ分かっていません。
このバグがAppleのソフトウェアの問題なのか、サードパーティのアプリ開発者の問題なのかは不明です。しかし、両方の独立したサービスが同じ日に障害を起こしたことから、iOS自体に問題があると思われます。iPhoneまたはiPadの日付を過去の日付に設定すると動画が再生できるようになるため、このエラーはデジタル証明書の有効期限切れに関連している可能性があります。
拡大
拡大
閉じる
- AAPL社
- iOS
- アップルニュース
- 安全
- OS X
アップルは、ハートブリードのセキュリティ欠陥が同社のソフトウェアやサービスに影響を与えていないと発表
今週初めに明らかになった「Heartbleed」脆弱性により、攻撃者がこれまで業界標準の SSL/TLS で保護されていると考えられていたウェブサイトのユーザー詳細にアクセスできるようになると推定される、50 万のサイトが影響を受けるため、お気に入りのソーシャル ネットワーク、ストア、その他のウェブ上のサービスで、この問題を悪用する誰かにパスワードやその他の個人情報が渡ってしまう可能性があります。
このバグはOpenSSLと呼ばれるライブラリに存在します。OpenSSLはオープンソースのSSL実装であり、多くの(ただしすべてではない)ウェブサービスが機密トラフィックのセキュリティ保護に使用しています。あなたが利用しているウェブサイトがこのバグの影響を受ける場合、あなたの個人情報がほぼ誰にでも漏洩してしまう可能性があります。残念ながら、安全でないサイトでパスワードを変更しても、サイトの所有者が修正プログラムをインストールしていない限り、効果はありません(攻撃者は再びこのバグを悪用して新しいパスワードを簡単に入手できるためです)。
この深刻な問題は多くの有名サイトに影響を与えていますが、あなたのApple IDは安全のようです。本日、AppleはRe/codeに対し、以下の声明を発表しました。
拡大
拡大
閉じる
- AAPL社
- iOS
- アップルニュース
- アップルブックス
- iTunes
Apple、互換性の改善とクラッシュ修正を加えたiTunes 11.1.5をリリース
Appleは本日、OS X版iTunesのマイナーアップデートをリリースしました。iTunesのクラッシュを引き起こす可能性のある深刻なバグが修正されています。また、iBooksとの互換性も改善されているとのことです。
このソフトウェアアップデートは、昨日リリースされたOS X 10.9.2に続くもので、悪意のある攻撃者に対する脆弱性を生じさせていた既存のSSLバグを修正しました。Appleはまた、昨年秋にiOS 7で初めて導入されたFaceTimeオーディオ通話と連絡先ブロック機能も導入しました。
このアップデートは、Mac App Store を通じて OS X ユーザーに提供される予定です。
- AAPL社
- マック
- アップルニュース
- ツイッター
- iCloud
セキュリティコンサルタントがOS Xのバグを悪用してSSLトラフィックをすべてキャプチャするのに1日もかからない
更新: このバグはOS X 10.9.2で修正されました
セキュリティ コンサルタントの Aldo Cortesi 氏は、ブログ記事 ( ZDNet経由) で、OS X の goto fail バグを悪用してすべての SSL トラフィックをキャプチャするのに 1 日もかからなかったこと、また、これを実行した最初の人物ではない可能性が高いことを述べています。これは、この脆弱性がすでに中間者攻撃に使用されている可能性があることを暗に示唆しています。
iOS(7.0.6以前)とOSX Mavericksの両方で、HTTPSトラフィックの完全な透過的な傍受を確認しました。ユーザー名、パスワード、さらにはAppleアプリのアップデートを含む、ほぼすべての暗号化トラフィックを捕捉できます。これには以下が含まれます。
- アプリストアとソフトウェアアップデートのトラフィック
- iCloudデータ(キーチェーンの登録と更新を含む)
- カレンダーとリマインダーからのデータ
- Macを探すのアップデート
- Twitterなどの証明書ピンニングを使用するアプリケーションのトラフィック… 展開展開閉じる
- AAPL社
- iOS
- マック
- アップルニュース
- iメッセージ
OS XのSSL修正の遅れの理由は不明。原因は1行のコードにあることが判明。
更新: Apple は翌日、SSL バグの修正を含んだ OS X 10.9.2 をリリースしました。
Apple が iOS の SSL バグを修正した後、脆弱性がコードの 1 行のエラーによって生じたことがロイター によって明らかにされてから 3 日が経過しても OS X の修正が行われない理由は不明です。
問題は、銀行サイト、GoogleのGmailサービス、Facebookなどが暗号化接続を確立するために使用するデジタル証明書を、このソフトウェアが認識する方法にあります。プログラム内のたった1行と括弧の省略によって、これらの証明書は全く認証されておらず、ハッカーは目的のウェブサイトを偽装し、本物のサイトに渡す前にすべての電子トラフィックを傍受できるのです。
このバグはAppleのSSL認証コードに存在するため、Safariだけでなく、さまざまなアプリが脆弱になる可能性がある 。
