マイキー・キャンベル
· 1分で読めます
Appleは月曜日、OS Xのセキュリティアップデートと、iOSおよびApple TVの個別のアップデートを公開した。これらのアップデートでは、悪意のあるユーザーが安全な通信を傍受できる可能性がある、広く報道された「FREAK」と呼ばれるSSL/TSLの欠陥など、最近発見されたいくつかの脆弱性が修正されている。
先週のレポートで強調された「FREAK」、つまり「Factoring RSA Export Keys」は、暗号化プロトコル SSL および TLS の特定の実施形態で最近発見された欠陥です。
AppleのSafariをはじめとするウェブブラウザは、データ転送にこれらのセキュアな接続を利用している。そのため、FREAKは、いわゆる中間者攻撃(man-in-the-middle attack)に対してシステムを無防備にしてしまう。中間者攻撃は、クライアントに通信セッション中に要求されたよりも弱い暗号化方式の使用を強制する攻撃である。Appleによると、この脆弱性は特定のRSA暗号スイートを実行するサーバーへの接続にのみ影響する。Appleは、この問題を修正するため、脆弱性の根底にある一時的なRSA鍵のサポートを削除した。
Appleのセキュリティアップデート専用ウェブページによると、FREAKはOS Xだけでなく、iOSとApple TVにも影響を与えました。Appleは本日早朝、iOS 8.2でこの問題に対処しました。また、最新のApple TV 7.1アップデートでは、Appleのセットトップボックスストリーマーにも対処されています。
FREAKパッチの他に、iCloudキーチェーン、IOAcceleratorFamily、IOSurface、OS Xカーネルに影響する修正も含まれているとAppleは述べている。
Apple の最新の OS X セキュリティアップデート 2015-002 は、ソフトウェアアップデートからダウンロードしてインストールできます。
