Appleが史上最悪のSSL暗号脆弱性、ネット接続が危険

http://japanese.enga.../ios-7-0-6-ssl-os-x/

アップルが iOS のアップデート 7.0.6 をリリースしました。
中身は「SSL接続時の検証に関する問題」の修正。iPhone 4以降,
iPad 2以降, iPod touch (第5世代)それぞれに適用されます。
また iOS 7に対応しない iPhone 3GS, iPod touch (第4世代) には、
同じバグ修正内容の iOS 6.1.6 がリリースされています。

また複数のセキュリティ研究者によると、このSSL接続時のバグは
最新版 OS X 10.9.1 にも存在しており、アップルがパッチを提供するまでは、
中間者攻撃を避けるため信頼できないネットワークには接続しないことが望ましいとされています。

信頼出来ないネットワークって

>>2
インターネットのことです。

｢OS X｣にもSSLの脆弱性が存在！ Appleも確認済みで近日中に修正へ！！
http://apple-iphoner...ac/mac-osx/4469.html

SSL接続時の検証に関する問題は「iOS」でも存在し、2014年2月22日に同問題を
修正した｢iOS 7.0.6｣と｢iOS 6.1.6｣がリリースされたばかりです。
そして、キュリティ研究者により同じ問題が｢OS X 10.9.1｣でも確認されています。



途中でどのような経路をたどるか分からないインターネットでは、目的の接続先と
手元のエンドツーエンドで経路の信頼性を確保する「SSL」があって初めて多くのサービスが安全に利用できるようになっています。
この部分にバグがあると、買い物や個人情報をやりとりする際、
上のように鍵があり相手の身元が示されていても信用できなくなってしまいます。

Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚──原因はタイプミス？
http://appllio.com/2...os-bug-ssl-goto-fail

Appleが公開しているソースコード
http://opensource.ap...lib/sslKeyExchange.c

笑わしよるわ

>>5
要は、Safariを使わなきゃいいんだろってことだよね。

Apple「興味ないね」

信頼が揺るぐな

>>5
>タイプミス？
コードのどの辺？

https://gotofail.com/
にアクセスすると脆弱化どうかが分かる。

コードとしては
http://opensource.ap...lib/sslKeyExchange.c
の631行目

if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;

goto hell;
にすべき

これiOS6もヤバイってこと？

>>12
iOS6のアップデータは出てるよ

OSXの深刻なバグってなに？

>>14
お前がAppStoreだと思ってクレジットカード番号を送信している先はどっかの雑居ビルの一角かもしれない
お前がOSXのアップデータだと思ってダウンロードしているそれはトロイの木馬かもしれない

>>14
お前が美女のマンコだと思って挿入した先は汚いおっさんのアナルかも知れない

10.8は問題ないようだな

>>10
1行で済むifだろうがちゃんと複文で書けよという教訓だな

10.9とiOS6以降でSSL使うのにSecurity.frameworkに依存してるアプリが問題、ということかな

ほんとだ、iOS6.1.6がきてる。

おいらのlionちゃんは大丈夫ってこと？
(´･ω･`)

iOS 7.0.6にしたら立体感がなくなってノッペリとしたデザインになった。
LINEとか最悪。
これがフラットデザインなのかなぁ。
次期アップデートでは元に戻して欲しい。(´･ω･`)

iOS7にアプデしたくないが今回ばっかりはしょうがないか

そらそうよ
外部からソースコード実行したい放題だもんな
winでもここまで酷いのはなかった

いやそういう類の脆弱性じゃないから

>>23
早まるな。iOS 7にアップグレードしたら
Macとの統一感がウリだったUIが完全に失われて
おもちゃみたいな目潰しケータイに成り果てるぞ。
iOS 6を脱獄してパッチあてるのが最善やろ。

iOS 6のUIもOS Xと統一感あったとは思えんな

怖いのは公衆無線LANで、
本物のSSIDに偽装したニセAPが設置されてるときだよ。

SSIDが同じだから自動接続しちゃうし、
ニセAPはすべてのサイトのサーバ証明書についてMITMできるニセ証明書を返す。
その先の通信は全部丸見え。
自動で走る各種チェックやメール同期とかもあるしぶっちゃけガード不能。

ニセAPは、乞食にノーパソ持たせてマックやスタバで一日座らせとく、
みたいなのが横行してるので
公衆無線LANを使ってた人全員が危険。

>>6
Other applications on your system such as mail, chat, financial, social networking and backup apps are also at risk - simply switching browsers will not fully protect you.

JKにノーパンでマックやスタバで一日座らせとく？

>>30
詳しく話を聞こうじゃないか。

毎日座ってるよ

ios 5だと問題ない？
iPhone 4はiOS5で余生を遅らせたいわ

脱獄してパッチ待ちが最善

パッチはセーフモードだと無効になるよ

スタバでどやってる馬鹿が物故抜かれるのか
メシウマ

これスノレパもあかんのか
いままでなんで問題にならなかったんだろう

インデントが揃ってないから、diffのマージミス的なものかな

コピペのとき1行多く選択しちゃったんだろう

早くアップデートリリースして欲しいな
今はFirefoxで凌いでるけど、
Safariに慣れちゃってるからどうも使い難い

疑問なんだが、今回のこれって
OSの問題としながらブラウザ変えればOKってのはどういうわけだ？

独自のコード使ってるブラウザなら回避できるってことだろ
うちのChromeはWarning出たよ。

バックアップソフトや国産ワープロソフト（ ´Д⊂ヽ、10.9で動作しないソフトが結構あるから
10.6と10.8で踏ん張ってきたけどいよいよ強制卒業を迫られることになったか。

まともに縦書き段組み長文管理（アンカージャンプ）もさくっとこなせる10.9対応ソフトって
いまInDesignしかないんだよなあ。

>>42
こっちはFirefoxの最新版でWarning出るんだよなぁ
Chromeはいれてないからまだ試してないけど

>>43
よく読んで。
10.9にはバグがあるけど、それ以前のやつにバグがあるとは書いてない。
もっとも、書いてないだけでバグがあるのかも知れんが…
(´･ω･`)

10.8ならセーフ？

warningなんて出たことないぞ

Cydia経由で見知らぬレポジにSSLパッチきたよ
HTTP://TAISY0.COM

http://TAISY0.COM

この手の知識全く無いから大丈夫と言われても絶対開けんわ…

ほら
http://gotton.net/bl...imgs/10142354624.jpg

>>51
豚の丸焼き画像でした

>>47

>>10 の一番上のアドレスにアクセスして出ない？

>>44で出るのなら、>>40で使ってるバージョンはいくつなんだろう

Warningの内容読めよ。

> We have examined your OS and browser version information
> and have determined that your browser shouldn't be vulnerable,
> however other applications on your system such as mail, chat, financial,
> social networking and backup apps are at risk.
>
> Please re-run this test from Safari to confirm!

>>54
> Please re-run this test from Safari to confirm!

なるほどorz

SSL/TLS使ってるのはブラウザだけじゃないから事態は恐ろしく深刻

とりあえずSafari使わなければいいってこと？

>>57
おまえんちのホームネットワークとお前の契約してるISPが信用できないほどブラックなら、そうした方がいいよ。

ICloudもやばい？

ｽﾚ読まないヤツ大杉
・件の脆弱性があるのはiOS 6と7、OS X 10.9。それ以前は無さげ。
・通信してる各種アプリ全般に関わる所の問題だからブラウザ変えても万全じゃねーど。

>>60
その「無さげ」ってところが気になる
スノレパやライオンがOKということなら自分は安心なんだけど
Appleはその辺はっきりして欲しい

そもそも10.6や10.7には10.9に無い脆弱性があるだろ
OSのアップデートってのは機能の追加とかだけじゃないんだよ

>>62
そうなんだろうけど、今でもスノレパやライオンにもセキュリティアップデートが来るじゃない
ということは一応Appleが認識している問題点はクリアされていて、
サポートされているということじゃない？

なんでMacは放置なんだAppleよ…

>>64
>なんでMacは放置なんだAppleよ…
10.9.2 のリリースと一緒にしようかと思案中かな。

>>40
>今はFirefoxで凌いでるけど、
Firefoxで凌ぐって、
Safariってそんなに良いの？

>>66
iOSにFireFoxがない。

あれ？
10.9.2 が来ているね。解決したとのこと。 by 65

http://www.macrumors...-ssl-facetime-audio/
40分前の記事か・・

10.9.2入れて、gotofail.comで確認した。
しかしリリース情報にその辺書いといてほしいよね。

About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001
http://support.apple.com/kb/HT6150

■Data Security
Available for: OS X Mavericks 10.9 and 10.9.1

Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS

Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.

CVE-ID
CVE-2014-1266

てことで10.9.2で治ってる模様

>>68
そらさすがに早急にPatchださないとアポーの信頼ガタ落ちだからなぁ

こんな酷いセキュリティホール出した時点で普通は信頼ガタ落ちだけどね
法人向けやってなくてよかったね

お前の信用は既に落ちている

しばらくは、iOSは一番危険だから買わない方がいいって考え方をするしかないね。

だからってAndroidが安全か？と言われるとそれも違うし
やっぱガラケー最強か？

>>75
比較論でしかないが、一番危険なiOSは論外。

スノレパのsafariでチェックサイトにアクセスしたらsafeって出てた

これってさ、公共無線も危ないって話だけど、
モバイルルータ（docomoとかWiMaxとかEMOBILEとか）のたぐいも危なかったわけ？
ipadとかモバイルルータでつないでる人山ほどいると思うんだけど
高い金払って1Passwordとか使っててもだだ漏れだったわけ？

>>78
ニセAPは、本物APのSSIDと同じSSIDを使うことで
被害者が接続してくるのを待ち受ける。

で、SSID自体はWIFI-APが周囲の誰でも傍受できるよう公開情報として無線電波上で発信してるので、
別に公衆無線LANのSSID以外でも、悪意あるものは近くのSSIDを全部拾えるし、
拾ったSSIDにその場でなりすますとかもできる。

これは悪意あるものからしても手間とかかかるが、
企業のオフィス内部の本物APのSSIDになりすましたニセAPを仕掛ける場合などには実際に使われる手口。

そういう能動的なニセAPに運悪く引っかかった個人の被害者は、
モバイルルーター的なものを使ってても
今回のiOSの超絶脆弱性と合わせ技で即死ダメージを受けてる恐れはある。

10.8もセキュリティアプデ来てるお

>>22
セキュリティ気にしてOSのバージョンアップをしながら、マルウェアのLINE使うのか

SSIDはステルスにして、さらにGoogleに勝手に拾われないため末尾に_nomapを付けてるわ

Appleヤバすぎだろ…

>>82
SSIDのステルスは、AP側が叫ぶ内容を伏せるには意味があるけど、
接続クライアント側がAPに向かって送信する通信には載ってくるし、
この部分はWPAなどの無線区間暗号化が有効でも暗号化されない場所なので
結局悪意あるものからすると
クライアント側の通信内容の方を拾うことで
近場のAPのSSIDを知ることができる。

ヤバイよ！ヤバイよ！Appleヤバイよ！！、
なんかよくわかんないけど、そーとーヤバイよ！

見損なったよApple
クソみたいな回数
開発者向けにパッチリリースして
テストさせてるのはなんのためだったのか

開発者も自分に影響あるとこしかテストしないからな

>>86
開発者が自分のアプリをテストするためだよ。

>>27
それは君の目と感覚がおかしいんじゃないかな。

OS XのSafari
http://core0.staticw...00066387-gallery.png

iOS 6 と 7のSafariの比較
http://iosguides.net...Icons-Comparison.jpg

マジで7のデザインって死んでるとしか思えん。
OS Xにまでこの糞似非フラットの波が押し寄せてきたら
もうMacからサヨナラするしかなくなるわ。

さようなら、また来月な！

10.9.2アプデ来てたけど入れたらSafariで>>10やってもSafe表示になったで
取り急ぎ

10.7.5で試してみたらchrome firefox safari いずれもsafe だった
これで安心していいのかな？

iPod 5thの6.1.xを6.1.6にすることはできないのかな、これ。

7.0.6にアップデートするしかないと悲しい。

iPhoneとiPadを7にアップデートするハメになっちまったな
こんなクソみたいなアイコンのOSになんかしたくなかったんだが
Appleのアホ氏ねや

【アップル】リリースされたばかりの「iOS7.0.6」にバッテリー消費が速くなる問題発覚 / 一部ユーザーの間で不具合発生中
http://rocketnews24....m/2014/02/27/417856/

なんかこんな記事あった

>>94
アホですか？

OS X、iOSはセキュリティバッチリ（ｷﾘｯ）とか情強が言ってたのに！

マスコミでさえ言ってたのに！

嘘だったのかッ！

iPadアプデしようとしても空き容量が4GB必要ですと出るんだけど
16GBでそんなにあけられるわけないだろ

>>98
>16GBでそんなにあけられるわけないだろ
だから128GBを買えと・・

>>98
バックアップとって出荷状態に復元してアップデートすればいいんじゃね？

>>98
iTunesでアップデートすればいい
俺も空き容量足りなくてiTunesでアップデートした

Windowsタブは欲しい
androidはスマホでいい

appleはいらない

巣に帰れ

Windowsタブは怖い
androidはスマホはでかい

appleがよさそう

Windowsタブは欲しい
androidはスマホでいい

appleはいらない

Appleのgoto failバグがソースコードに追加されたのは不自然。
https://gist.github.com/hongrich/9176925

goto failが追加されたのは、NSA(アメリカ国家安全保障局)の
PRISMプログラム(例の通信を監視するやつ)の監視対象に
Appleが追加された時期と同じで、apple内部に内通者がいたのかという説。
http://daringfirebal.../2014/02/apple_prism

内通者？

>>106
充分ありうるな。
911のテロ以来、米はテロ防止を目的に監視を強めている。
監視していたことを英雄スノーデンさんが明らかにしてくれたわけだが…
関わっていたのはApple、Google、Facebook、Twitter、もろもろの大企業。
日本も含めて総監視社会だったわけだ。プライバシーの侵害。

ふつう、余計な一文を間違って追加するなど、三流のデベロッパですらあり得ない。
一流が集うAppleの開発者が間違ってコードを書いたとは考えにくい。
プログラムの自動構文チェック機能だってあるのに…。
監視することを計算に入れて、「わざと」やった可能性が高いと思う。

わざとやったのになんで直すん

>>109
バレたからだろ。
もし誰にもバレてなかったら、
そのまま押し通してただろう。

解読不可能のはずの「iMessage」が実は解読可能でIDやパスワードも読めることが判明 - GIGAZINE
http://gigazine.net/...e-can-read-imessage/

この時点から、かなり怪しかったが原因特定に4ヶ月かかったのか

米国系の大手IT企業が全部やってたとすると…
非常に怖いんですけど

肝心のMicrosoft様はどうなんだろう

>>112
>肝心のMicrosoft様はどうなんだろう
ライセンス認証の時にNSAで誰が世界のどこでどのマシンで集計中
くらいは想定内。

>>106
ふはははっはは
笑止まらんな

電力会社とか核融合の研究してるところとか、六ヶ所村で使用済み核燃料ためて、
核融合の研究施設誘致して何するつもりか株主総会やらなんやらで調べて欲しいよねー

>>111
gigazineの記事にプライベートインターネットのことが載ってるけど
インフラから作るのは面倒でも仮想ネットワークを既存のインターネット上に作るのはとても簡単だよね
安全性は高まるしやりたい放題だし良いことずくめ

そんなものは視点を変えれば、どうにでも変化する概念ですので、引退テンプレートを掲げながら、
各所にご意見番のように出没するために、無用な揉め事を生んだ利用者も誰かから見れば
「疲弊ユーザー」となるような恣意的な観念です。--みしまるもも（会話） 2014年1月7日 (火) 07:19 (UTC )

さあ、さあ、さあさあさあさあ！！！！！！！！！！！

>>99
汚いおっさんのアナルでもガバガバなるらしいで

>>108
ないない
バックドアならまだしも全ての中間者攻撃に対して寛容である必要ないじゃない

畢竟、Appleは無能それを信奉してるお前等は無知ってだけ

>>108
検証可能なオープンソースで、あの間抜けコードが？　陰謀？
プログラミングやる人なら「あー、やっちゃったかw」みたいなコードが陰謀？

　ｧ　　　 _, ,_　ｧ,､
　,､'` （　ﾟ∀ﾟ）　,､'`　　馬鹿じゃねえのお前w
　 '` 　( ⊃⊂)　　'`

Appleが愚かな間違いを犯すはずがない、
ってのが発想の前提にあるんだろうな。

陰謀論に共通してるよな。
この手の倒錯した論理。

>>120
馬鹿発見。
お前プログラミングやったことないだろう。

>>121
お前アホか？
英雄スノーデンさんを知らないんだろう。

>>122

♪ n__n　_ 　　　n__n　♪
___/ ﾟuﾟﾐ‘/⌒i。ﾐﾟuﾟ ヽ___
`7　 /`' ：>::; ﾉ： lﾉ 　 ､-'　　　　　
. Tn )♪：l| ::|:|： ♪>-　）　　
.　~`'　 ：/　:O：　　`^(7

>>124
プログラミング経験はあるのかと聞いている。
あったとしても低学歴なんだろう。

>>125
プログラミング経験もなく低学歴なことが丸分かりなボクちゃんどうしたの？

>>126
俺は高学歴だが。
ちなみにアプリ開発者でもある。

陰謀だった方がもっとあかんやん

>>127
それでまさかあんな幼稚な陰謀論？
出直しておいで中卒ちゃん

>>129
残念だったな。
俺は中卒ではない。
高学歴だ。

最終学歴と食レポをどうぞ

>>131
お前から言え

なんという低レベルな煽りあい…

>>133
実は>>120=>>124の俺は、そこから書き込んでないという衝撃の事実。

どーでもいいけど、実社会でのプログラマーは底辺だよ。

>>135
2ヶ月で700万円を稼いだスマホアプリ「マッチに火をつけろ」の広告売上から分かった、カジュアルゲームで収益を上げる3つのポイント

http://www.growingapp.jp/blog/2012/11/2繝ｶ譛医〒700荳?蜀?繧堤ｨｼ縺?縺?iphone繧｢繝励Μ縲後?槭ャ繝√↓轣ｫ繧偵▽縺?/

2ヶ月で700万円、だよ。実社会では頂点に近い。

>>135
お前の仕事のほうが底辺だよｗ

有名なプログラマとして
ビル・ゲイツやリーナス・トーバルズの名前がある。

ｗ

ビル・ゲイツって自分で作ったのってBASICだけだろ。
あとは全部買い物。
今のWindowsの礎となったMS-DOSだって単に転売しただけだしな。
あいつをプログラマーっていうのはかなり苦しい。
単なるビジネスマンだな。
今時のスタープログラマーっていうと、ザッカーバーグくらいだろ。

ウィリアムは天才だ

>>139
おいおい。プログラマの仕事ってのは
だいたい一人でやってるわけじゃない。

多くのプログラマは、すでにある何かを
修正するのが仕事。

だからビルゲイツはプログラマでいいんだよ。

な？結局なにもなかったろ
過度に騒いでた奴は視野が狭い

>>141
元プログラマな。
今は慈善活動家。

>>142
そりゃどこから漏れたかすらトレース難しいし、appleはだんまり決め込んでるからな

悪魔の証明

利根川が一言

>>84
公共の場でモバイルwifi使うときはUSB接続なら大丈夫ってことでおk?

>>147
YES

それよりステルスにしたら_nomapは無効になるだろ
なんで誰も教えてやらないんだ

これ公開ネットワーク以外でも危ないのか？自宅wifiでも抜かれるとかドザがほざいてたんだが

>>149
やはりそうだったか

>>142
PRISMですか？

>>149
逆だけど？

iPad用に6.1.6出してくんないかな
iOS7にするのやだ

出ません

OpenSSLに重大なバグが発見される
http://maguro.2ch.ne.../poverty/1396927362/

HeartbleedはAppleのおかげで明らかになった(ｷﾘｯ

みんなダメダメやん

ごめんなさい

[CNET Japan] 「Heartbleed」脆弱性、アップルのOSやウェブサイトは安全--米CNETが回答入手
http://www.asahi.com...t/CCNET35046433.html

goto;が霞むほどの事件だなぁ

Appleは堅牢だね
最高だ！

賠償責任

　

WireLurker(周到に準備する悪人)
「インストール済みのiOSアプリケーションに感染」
「ジェイルブレイクしていないiOSデバイスに、企業内アプリ配信機能により
サードパーティー製のアプリケーションをインストール可能」「OS X のUSB経由でiOSデバイスを攻撃」
「バイナリファイルの置換で悪意あるiOSアプリケーションを自動生成する」

パロアルト、AppleのiOSとOS Xを狙う前例のないマルウェアを発見 | マイナビニュース
http://news.mynavi.j...news/2014/11/07/196/
2014/11/07

もう最近ヤバくてネットショッピングとか怖くてできねえな
OSもブラウザも当てにならん

>>165Wi-Fi接続や怪しいアプリやメールやら開かなきゃりまずウィルス感染しないから、ガラケーって問題無くね

iモードアプリとかドコモは審査してるんだっけ？
してないなら危ないんじゃない？

この記事の10ヶ月後にまた発見されるとは…

またなんかあったの？

ちょっと詳しい方にお伺いしたいんですが、iOS6でアプリを購入する場合、
登録したアップルIDのクレカ情報も丸裸になってしまうんですか？

それはよくわかりませんがわたしは丸裸です

Apple「作業風景撮影させろ」　日本の下請け「はい…」　→　Apple「技術盗めたからお前んとこ切るわｗｗｗ」
http://engawa.2ch.ne.../poverty/1377868549/

OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告

研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。

http://www.itmedia.c...1506/18/news053.html

もうインターネットって信用できない
CDROMでコンテンツばらまいてた時代に戻してくれ

米Appleのソフトウェア開発ツールを改ざんした「XcodeGhost」が中国で出回り、マルウェアに感染したiOSアプリがApp Storeで配信されていたことが分かった。
http://www.itmedia.c...1509/24/news060.html

セキュリティ研究者が「Gatekeeperの完全な失敗」を指摘する発表を行った。
http://www.itmedia.c...1601/19/news054.html

☆ 日本の核武装は早急に必須です。☆
総務省の、『憲法改正国民投票法』、でググってみてください。
日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。

ジョブズは顧客個人情報を米政府に売り渡した人物
その後の評伝や評価はそれをカモフラージュするために行われた

クローズアップ現代＋「あなたのパソコンが危ない 追跡！謎の新型ウイルス」★1(c)2ch.net
http://nhk2.2ch.net/.../livenhk/1501761058/

「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性
https://japan.cnet.com/article/35111084/

またかいな

代表者がホモでまともなOSなんか作れる筈がない
感染予防すら放り出して共食いを繰り返すゾンビ集団みたいなもんだろ

ハードゲイよりプレゼンでウケ狙いばっかやってるフェデリギの問題だと思う
フォーストールがいる頃はガッチガチに緊張してたのに最近調子乗りすぎ

ウケのガチムチがフェラチオで怒張？

まあなんてイヤらしい！

しょせんナンチャッテWindows
偽物なんて、こんなもんだ

だからBeOSにしとけと