アップル、SSL/TLSの脆弱性を修正するOS X向けアップデートを公開「goto fail」を修正、早期の適用を推奨

米アップルは2014年2月25日、OS X Mavericks向けのアップデート「v10.9.2」および「Security Update 2014-001」をリリースした。

» 2014年02月26日 19時26分 公開
[高橋睦美,@IT]

 米アップルは2014年2月25日、OS X Mavericks向けのアップデート「v10.9.2」および「Security Update 2014-001」をリリースした。先に2月21日付でiPhoneやiPad向けにリリースされたセキュリティアップデート「iOS 7.0.6」「iOS 6.1.6」同様、SSL/TLS接続に関する脆弱性(CVE-2014-1266)も含めた多数の脆弱性を修正しており、早期の適用が望ましい。

 このSSL/TLSに関する脆弱性は、非常に単純なミスに起因しながら深刻な影響を及ぼすものだ。接続時の認証を検証するステップに不備があり、SSL/TLSで保護されているはずの通信――IDやパスワード、あるいはクレジットカード番号といった重要なデータが含まれることが多い――が第三者に盗聴されたり、改ざんされたりする恐れがある。

 セキュリティ専門家がソースコードを解析したところ、原因は、証明書をチェックする処理の記述にあった。if文に対する「goto fail」の後に、おそらくミスによって同じ一行が余分に記述されていた。この結果、2つ目の「goto fail」が常に実行されるため、以降の処理はすべてスキップされ、どのような場合でも検証処理が成功するようになっていた。

 今回のアップデートにはMountain Lion/Lion向けも含まれているが、SSL/TLSの脆弱性が影響するのはMavericksのみで、また利用しているブラウザーによっても影響は異なる。この脆弱性の有無をチェックできるサイトも公開されている。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。