2014年2月22日午前8時01分（太平洋標準時）

更新:  Apple は OS X の修正が間もなくリリースされると発表しました。

Appleは昨日、iOS 6とApple TV向けの新ビルドと共にiOSアップデート7.0.6をリリースしました。同社によると、このアップデートには「SSL接続検証の修正」が含まれているとのことです。Appleはこのバグについて具体的な情報を提供していませんでしたが、すぐにHacker Newsのトップでその答えが報じられました。この軽微なセキュリティ修正は、実は重大な欠陥であり、理論上は攻撃者が影響を受けるブラウザとほぼすべてのSSL保護サイト間の通信を傍受できる可能性があることが判明しました。さらに、このバグはAppleがまだセキュリティパッチをリリースしていないOS Xの最新ビルドにも存在しています。

CrowdStrike の研究者はレポートの中でこのバグについて次のように説明しています。

この攻撃を成功させるには、攻撃者が中間者（MitM）ネットワーク接続を行える必要があります。これは、攻撃者が被害者と同じ有線または無線ネットワーク上に存在していれば可能です。iOSおよびOS Xプラットフォームの認証ロジックに欠陥があるため、攻撃者は最初の接続ハンドシェイク時にSSL/TLS検証ルーチンをバイパスできます。これにより、攻撃者はお気に入りのウェブメールプロバイダーなどの信頼できるリモートエンドポイントからのアクセスを装い、ユーザーと宛先サーバー間の暗号化トラフィックを完全に傍受し、通信中のデータを改ざんする能力（例えば、システムを制御するためのエクスプロイトを配信するなど）を獲得することが可能になります。

Googleのシニアソフトウェアエンジニアであるアダム・ラングレー氏も、自身のブログImperialVioletでこの欠陥について書き、バグがあるかどうかを確認するためのテストサイトを作成しました（上図）。展開展開閉じる