アップル、SSL/TLSの脆弱性を修正するOS X向けアップデートを公開：「goto fail」を修正、早期の適用を推奨

[高橋睦美，＠IT]

　米アップルは2014年2月25日、OS X Mavericks向けのアップデート「v10.9.2」および「Security Update 2014-001」をリリースした。先に2月21日付でiPhoneやiPad向けにリリースされたセキュリティアップデート「iOS 7.0.6」「iOS 6.1.6」同様、SSL/TLS接続に関する脆弱性（CVE-2014-1266）も含めた多数の脆弱性を修正しており、早期の適用が望ましい。

　このSSL/TLSに関する脆弱性は、非常に単純なミスに起因しながら深刻な影響を及ぼすものだ。接続時の認証を検証するステップに不備があり、SSL/TLSで保護されているはずの通信――IDやパスワード、あるいはクレジットカード番号といった重要なデータが含まれることが多い――が第三者に盗聴されたり、改ざんされたりする恐れがある。

　セキュリティ専門家がソースコードを解析したところ、原因は、証明書をチェックする処理の記述にあった。if文に対する「goto fail」の後に、おそらくミスによって同じ一行が余分に記述されていた。この結果、2つ目の「goto fail」が常に実行されるため、以降の処理はすべてスキップされ、どのような場合でも検証処理が成功するようになっていた。

　今回のアップデートにはMountain Lion／Lion向けも含まれているが、SSL/TLSの脆弱性が影響するのはMavericksのみで、また利用しているブラウザーによっても影響は異なる。この脆弱性の有無をチェックできるサイトも公開されている。