Appleが史上最悪のSSL暗号脆弱性、ネット接続が危険

http://japanese.enga.../ios-7-0-6-ssl-os-x/

アップルが iOS のアップデート 7.0.6 をリリースしました。
中身は「SSL接続時の検証に関する問題」の修正。iPhone 4以降,
iPad 2以降, iPod touch (第5世代)それぞれに適用されます。
また iOS 7に対応しない iPhone 3GS, iPod touch (第4世代) には、
同じバグ修正内容の iOS 6.1.6 がリリースされています。

また複数のセキュリティ研究者によると、このSSL接続時のバグは
最新版 OS X 10.9.1 にも存在しており、アップルがパッチを提供するまでは、
中間者攻撃を避けるため信頼できないネットワークには接続しないことが望ましいとされています。

信頼出来ないネットワークって

>>2
インターネットのことです。

｢OS X｣にもSSLの脆弱性が存在！ Appleも確認済みで近日中に修正へ！！
http://apple-iphoner...ac/mac-osx/4469.html

SSL接続時の検証に関する問題は「iOS」でも存在し、2014年2月22日に同問題を
修正した｢iOS 7.0.6｣と｢iOS 6.1.6｣がリリースされたばかりです。
そして、キュリティ研究者により同じ問題が｢OS X 10.9.1｣でも確認されています。



途中でどのような経路をたどるか分からないインターネットでは、目的の接続先と
手元のエンドツーエンドで経路の信頼性を確保する「SSL」があって初めて多くのサービスが安全に利用できるようになっています。
この部分にバグがあると、買い物や個人情報をやりとりする際、
上のように鍵があり相手の身元が示されていても信用できなくなってしまいます。

Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚──原因はタイプミス？
http://appllio.com/2...os-bug-ssl-goto-fail

Appleが公開しているソースコード
http://opensource.ap...lib/sslKeyExchange.c

笑わしよるわ

>>5
要は、Safariを使わなきゃいいんだろってことだよね。

Apple「興味ないね」

信頼が揺るぐな

>>5
>タイプミス？
コードのどの辺？

https://gotofail.com/
にアクセスすると脆弱化どうかが分かる。

コードとしては
http://opensource.ap...lib/sslKeyExchange.c
の631行目

if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;

goto hell;
にすべき

これiOS6もヤバイってこと？

>>12
iOS6のアップデータは出てるよ

OSXの深刻なバグってなに？

>>14
お前がAppStoreだと思ってクレジットカード番号を送信している先はどっかの雑居ビルの一角かもしれない
お前がOSXのアップデータだと思ってダウンロードしているそれはトロイの木馬かもしれない

>>14
お前が美女のマンコだと思って挿入した先は汚いおっさんのアナルかも知れない

10.8は問題ないようだな

>>10
1行で済むifだろうがちゃんと複文で書けよという教訓だな

10.9とiOS6以降でSSL使うのにSecurity.frameworkに依存してるアプリが問題、ということかな

ほんとだ、iOS6.1.6がきてる。

おいらのlionちゃんは大丈夫ってこと？
(´･ω･`)

iOS 7.0.6にしたら立体感がなくなってノッペリとしたデザインになった。
LINEとか最悪。
これがフラットデザインなのかなぁ。
次期アップデートでは元に戻して欲しい。(´･ω･`)

iOS7にアプデしたくないが今回ばっかりはしょうがないか

そらそうよ
外部からソースコード実行したい放題だもんな
winでもここまで酷いのはなかった

いやそういう類の脆弱性じゃないから

>>23
早まるな。iOS 7にアップグレードしたら
Macとの統一感がウリだったUIが完全に失われて
おもちゃみたいな目潰しケータイに成り果てるぞ。
iOS 6を脱獄してパッチあてるのが最善やろ。

iOS 6のUIもOS Xと統一感あったとは思えんな

怖いのは公衆無線LANで、
本物のSSIDに偽装したニセAPが設置されてるときだよ。

SSIDが同じだから自動接続しちゃうし、
ニセAPはすべてのサイトのサーバ証明書についてMITMできるニセ証明書を返す。
その先の通信は全部丸見え。
自動で走る各種チェックやメール同期とかもあるしぶっちゃけガード不能。

ニセAPは、乞食にノーパソ持たせてマックやスタバで一日座らせとく、
みたいなのが横行してるので
公衆無線LANを使ってた人全員が危険。

>>6
Other applications on your system such as mail, chat, financial, social networking and backup apps are also at risk - simply switching browsers will not fully protect you.

JKにノーパンでマックやスタバで一日座らせとく？

>>30
詳しく話を聞こうじゃないか。

毎日座ってるよ

ios 5だと問題ない？
iPhone 4はiOS5で余生を遅らせたいわ

脱獄してパッチ待ちが最善

パッチはセーフモードだと無効になるよ

スタバでどやってる馬鹿が物故抜かれるのか
メシウマ

これスノレパもあかんのか
いままでなんで問題にならなかったんだろう

インデントが揃ってないから、diffのマージミス的なものかな

コピペのとき1行多く選択しちゃったんだろう

早くアップデートリリースして欲しいな
今はFirefoxで凌いでるけど、
Safariに慣れちゃってるからどうも使い難い

疑問なんだが、今回のこれって
OSの問題としながらブラウザ変えればOKってのはどういうわけだ？

独自のコード使ってるブラウザなら回避できるってことだろ
うちのChromeはWarning出たよ。

バックアップソフトや国産ワープロソフト（ ´Д⊂ヽ、10.9で動作しないソフトが結構あるから
10.6と10.8で踏ん張ってきたけどいよいよ強制卒業を迫られることになったか。

まともに縦書き段組み長文管理（アンカージャンプ）もさくっとこなせる10.9対応ソフトって
いまInDesignしかないんだよなあ。

>>42
こっちはFirefoxの最新版でWarning出るんだよなぁ
Chromeはいれてないからまだ試してないけど

>>43
よく読んで。
10.9にはバグがあるけど、それ以前のやつにバグがあるとは書いてない。
もっとも、書いてないだけでバグがあるのかも知れんが…
(´･ω･`)

10.8ならセーフ？

warningなんて出たことないぞ

Cydia経由で見知らぬレポジにSSLパッチきたよ
HTTP://TAISY0.COM

http://TAISY0.COM

この手の知識全く無いから大丈夫と言われても絶対開けんわ…

ほら
http://gotton.net/bl...imgs/10142354624.jpg

>>51
豚の丸焼き画像でした

>>47

>>10 の一番上のアドレスにアクセスして出ない？

>>44で出るのなら、>>40で使ってるバージョンはいくつなんだろう

Warningの内容読めよ。

> We have examined your OS and browser version information
> and have determined that your browser shouldn't be vulnerable,
> however other applications on your system such as mail, chat, financial,
> social networking and backup apps are at risk.
>
> Please re-run this test from Safari to confirm!

>>54
> Please re-run this test from Safari to confirm!

なるほどorz

SSL/TLS使ってるのはブラウザだけじゃないから事態は恐ろしく深刻

とりあえずSafari使わなければいいってこと？

>>57
おまえんちのホームネットワークとお前の契約してるISPが信用できないほどブラックなら、そうした方がいいよ。

ICloudもやばい？

ｽﾚ読まないヤツ大杉
・件の脆弱性があるのはiOS 6と7、OS X 10.9。それ以前は無さげ。
・通信してる各種アプリ全般に関わる所の問題だからブラウザ変えても万全じゃねーど。

>>60
その「無さげ」ってところが気になる
スノレパやライオンがOKということなら自分は安心なんだけど
Appleはその辺はっきりして欲しい

そもそも10.6や10.7には10.9に無い脆弱性があるだろ
OSのアップデートってのは機能の追加とかだけじゃないんだよ

>>62
そうなんだろうけど、今でもスノレパやライオンにもセキュリティアップデートが来るじゃない
ということは一応Appleが認識している問題点はクリアされていて、
サポートされているということじゃない？

なんでMacは放置なんだAppleよ…

>>64
>なんでMacは放置なんだAppleよ…
10.9.2 のリリースと一緒にしようかと思案中かな。

>>40
>今はFirefoxで凌いでるけど、
Firefoxで凌ぐって、
Safariってそんなに良いの？

>>66
iOSにFireFoxがない。

あれ？
10.9.2 が来ているね。解決したとのこと。 by 65

http://www.macrumors...-ssl-facetime-audio/
40分前の記事か・・

10.9.2入れて、gotofail.comで確認した。
しかしリリース情報にその辺書いといてほしいよね。

About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001
http://support.apple.com/kb/HT6150

■Data Security
Available for: OS X Mavericks 10.9 and 10.9.1

Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS

Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.

CVE-ID
CVE-2014-1266

てことで10.9.2で治ってる模様

>>68
そらさすがに早急にPatchださないとアポーの信頼ガタ落ちだからなぁ

こんな酷いセキュリティホール出した時点で普通は信頼ガタ落ちだけどね
法人向けやってなくてよかったね

お前の信用は既に落ちている

しばらくは、iOSは一番危険だから買わない方がいいって考え方をするしかないね。

だからってAndroidが安全か？と言われるとそれも違うし
やっぱガラケー最強か？

>>75
比較論でしかないが、一番危険なiOSは論外。

スノレパのsafariでチェックサイトにアクセスしたらsafeって出てた

これってさ、公共無線も危ないって話だけど、
モバイルルータ（docomoとかWiMaxとかEMOBILEとか）のたぐいも危なかったわけ？
ipadとかモバイルルータでつないでる人山ほどいると思うんだけど
高い金払って1Passwordとか使っててもだだ漏れだったわけ？

>>78
ニセAPは、本物APのSSIDと同じSSIDを使うことで
被害者が接続してくるのを待ち受ける。

で、SSID自体はWIFI-APが周囲の誰でも傍受できるよう公開情報として無線電波上で発信してるので、
別に公衆無線LANのSSID以外でも、悪意あるものは近くのSSIDを全部拾えるし、
拾ったSSIDにその場でなりすますとかもできる。

これは悪意あるものからしても手間とかかかるが、
企業のオフィス内部の本物APのSSIDになりすましたニセAPを仕掛ける場合などには実際に使われる手口。

そういう能動的なニセAPに運悪く引っかかった個人の被害者は、
モバイルルーター的なものを使ってても
今回のiOSの超絶脆弱性と合わせ技で即死ダメージを受けてる恐れはある。

10.8もセキュリティアプデ来てるお

>>22
セキュリティ気にしてOSのバージョンアップをしながら、マルウェアのLINE使うのか

SSIDはステルスにして、さらにGoogleに勝手に拾われないため末尾に_nomapを付けてるわ

Appleヤバすぎだろ…

>>82
SSIDのステルスは、AP側が叫ぶ内容を伏せるには意味があるけど、
接続クライアント側がAPに向かって送信する通信には載ってくるし、
この部分はWPAなどの無線区間暗号化が有効でも暗号化されない場所なので
結局悪意あるものからすると
クライアント側の通信内容の方を拾うことで
近場のAPのSSIDを知ることができる。

ヤバイよ！ヤバイよ！Appleヤバイよ！！、
なんかよくわかんないけど、そーとーヤバイよ！

見損なったよApple
クソみたいな回数
開発者向けにパッチリリースして
テストさせてるのはなんのためだったのか

開発者も自分に影響あるとこしかテストしないからな

>>86
開発者が自分のアプリをテストするためだよ。

>>27
それは君の目と感覚がおかしいんじゃないかな。

OS XのSafari
http://core0.staticw...00066387-gallery.png

iOS 6 と 7のSafariの比較
http://iosguides.net...Icons-Comparison.jpg

マジで7のデザインって死んでるとしか思えん。
OS Xにまでこの糞似非フラットの波が押し寄せてきたら
もうMacからサヨナラするしかなくなるわ。

さようなら、また来月な！

10.9.2アプデ来てたけど入れたらSafariで>>10やってもSafe表示になったで
取り急ぎ

10.7.5で試してみたらchrome firefox safari いずれもsafe だった
これで安心していいのかな？

iPod 5thの6.1.xを6.1.6にすることはできないのかな、これ。

7.0.6にアップデートするしかないと悲しい。

iPhoneとiPadを7にアップデートするハメになっちまったな
こんなクソみたいなアイコンのOSになんかしたくなかったんだが
Appleのアホ氏ねや

【アップル】リリースされたばかりの「iOS7.0.6」にバッテリー消費が速くなる問題発覚 / 一部ユーザーの間で不具合発生中
http://rocketnews24....m/2014/02/27/417856/

なんかこんな記事あった

>>94
アホですか？

OS X、iOSはセキュリティバッチリ（ｷﾘｯ）とか情強が言ってたのに！

マスコミでさえ言ってたのに！

嘘だったのかッ！

iPadアプデしようとしても空き容量が4GB必要ですと出るんだけど
16GBでそんなにあけられるわけないだろ

>>98
>16GBでそんなにあけられるわけないだろ
だから128GBを買えと・・

>>98
バックアップとって出荷状態に復元してアップデートすればいいんじゃね？