- AAPL社
- アップルニュース
- 安全
- OS X
- バグ
AppleはSSL修正のためOS X 10.9.2へのアップデートをユーザーに促すため「重要なセキュリティアップデート」通知をプッシュ
2014年3月19日午後12時47分(太平洋標準時)
先月末にリリースされた OS X 10.9.2 は、ほとんどのユーザーがすでにインストール済みであると思われますが、Apple はまだインストールしていないユーザーに対してリマインダーを発行しています。
私のように OS X 10.9.1 を使い続けている出遅れた人たちは、過去 1 日で以下のような通知が表示されるようになりました。これは、iOS 7 と OS X Mavericks の両方で見つかった、広く知られた SSL バグの修正を含む重要なアップデートをプッシュするものです。
拡大
拡大
閉じる
- AAPL社
- アップルニュース
- OS X
- Mac App Store
- 異端者
Apple、SSL修正、FaceTimeオーディオ、連絡先ブロック、メール修正を含むOS X Mavericks 10.9.2をリリース
Appleは、開発者向けの徹底的なベータ版プロセスを経て、OS X Mavericks 10.9.2をエンドユーザー向けにリリースしました。このアップデートでは、以下の新機能と機能強化がいくつか追加されています。
- FaceTimeとメッセージアプリのFaceTimeオーディオ
- FaceTimeとiMessageの連絡先ブロック
- メールアプリの改善
- Safariの自動入力の修正
- オーディオの修正
- VPNの修正
- VoiceOverの修正
リリースノートには、先週末にiOSで修正されたSSLセキュリティバグについては記載されていませんが、今回のOS Xアップデートで修正されています。アップデートはMac App Storeの「ソフトウェア・アップデート」タブから入手できます。
拡大
拡大
閉じる
- AAPL社
- iOS
- マック
- ハウツー
- OS X
Appleは昨日iOSの重大なSSLバグを修正したが、OS Xは依然として危険にさらされている
更新: Apple は OS X の修正が間もなくリリースされると発表しました。
Appleは昨日、iOS 6とApple TV向けの新ビルドと共にiOSアップデート7.0.6をリリースしました。同社によると、このアップデートには「SSL接続検証の修正」が含まれているとのことです。Appleはこのバグについて具体的な情報を提供していませんでしたが、すぐにHacker Newsのトップでその答えが報じられました。この軽微なセキュリティ修正は、実は重大な欠陥であり、理論上は攻撃者が影響を受けるブラウザとほぼすべてのSSL保護サイト間の通信を傍受できる可能性があることが判明しました。さらに、このバグはAppleがまだセキュリティパッチをリリースしていないOS Xの最新ビルドにも存在しています。
CrowdStrike の研究者はレポートの中でこのバグについて次のように説明しています。
この攻撃を成功させるには、攻撃者が中間者(MitM)ネットワーク接続を行える必要があります。これは、攻撃者が被害者と同じ有線または無線ネットワーク上に存在していれば可能です。iOSおよびOS Xプラットフォームの認証ロジックに欠陥があるため、攻撃者は最初の接続ハンドシェイク時にSSL/TLS検証ルーチンをバイパスできます。これにより、攻撃者はお気に入りのウェブメールプロバイダーなどの信頼できるリモートエンドポイントからのアクセスを装い、ユーザーと宛先サーバー間の暗号化トラフィックを完全に傍受し、通信中のデータを改ざんする能力(例えば、システムを制御するためのエクスプロイトを配信するなど)を獲得することが可能になります。
Googleのシニアソフトウェアエンジニアであるアダム・ラングレー氏も、自身のブログImperialVioletでこの欠陥について書き、バグがあるかどうかを確認するためのテストサイトを作成しました(上図)。展開展開閉じる
- AAPL社
- マック
- 開発者
- OS X
- 10.9.2
Apple、OS X Mavericks 10.9.2 ビルド 13C59 を開発者向けに公開
先週のビルドに続き、Appleは開発者向けにOS X Mavericks 10.9.2の新しいビルドをリリースしました。これらのビルドは現時点では比較的マイナーなものですが、一般向けにはまもなく10.9.2がリリースされる予定です。Appleは10.9.2でFaceTimeオーディオとiMessage/FaceTimeのブロック機能を導入する予定です。
