2014年2月~9月にかけての「OS Xの脆弱性」に関する2つの記事
すべてのストーリーを見る
- AAPL社
- マック
- OS X
- リナックス
- ターミナル
OS Xに「Shell Shock」コマンドライン脆弱性、Heartbleedよりも深刻になる可能性
2014年9月25日午前4時18分(太平洋標準時)
更新: Appleはこの問題に関してiMoreに声明を発表し、「高度なUNIXサービス」を設定しない限り、ほとんどのMacユーザーは既に保護されていると述べています。これらのユーザーを保護するためのアップデートが現在開発中です。
多くの Unix 系でコマンド シェルを制御するために使用されているソフトウェアである Bash の脆弱性が OS X にも存在することが判明しました。一部のセキュリティ研究者は、この欠陥は昨年発見された Heartbleed 脆弱性 (多くの Unix システムに影響しましたが、OS X には影響しませんでした) よりも大きな脅威となる可能性があると述べています。
「Shell Shock」と呼ばれるBashの脆弱性により、攻撃者は様々な悪意あるコードをリモートで実行できるようになります。この脆弱性はRedHatのセキュリティ研究者によって発見され、ブログ記事で詳細が説明されています。
Macユーザーがどの程度危険にさらされているかについては、相反する報告があります… 展開展開閉じる
- AAPL社
- iOS
- マック
- アップルニュース
- iメッセージ
OS XのSSL修正の遅れの理由は不明。原因は1行のコードにあることが判明。
更新: Apple は翌日、SSL バグの修正を含んだ OS X 10.9.2 をリリースしました。
Apple が iOS の SSL バグを修正した後、脆弱性がコードの 1 行のエラーによって生じたことがロイター によって明らかにされてから 3 日が経過しても OS X の修正が行われない理由は不明です。
問題は、銀行サイト、GoogleのGmailサービス、Facebookなどが暗号化接続を確立するために使用するデジタル証明書を、このソフトウェアが認識する方法にあります。プログラム内のたった1行と括弧の省略によって、これらの証明書は全く認証されておらず、ハッカーは目的のウェブサイトを偽装し、本物のサイトに渡す前にすべての電子トラフィックを傍受できるのです。
このバグはAppleのSSL認証コードに存在するため、Safariだけでなく、さまざまなアプリが脆弱になる可能性がある 。
