AppleInsiderスタッフ
· 1分で読めます
Apple の iOS セキュリティ欠陥の CVE ID の説明。
Appleは土曜日、OS Xの脆弱性を修正する作業を進めていると発表した。この脆弱性により、SSL/TSLセキュリティプロトコルを使用して送信される通信がハッカーに傍受される可能性がある。この脆弱性は、同社が金曜日にリリースしたiOSアップデートで修正された。
ロイター通信に提供された声明の中で、アップルは、最新のiOS 7.0.2アップデートで修正された同じSSL/TSLセキュリティ欠陥がOS Xにも存在するという研究者の調査結果を認めた。クパチーノに本社を置く同社は、ソフトウェアアップデートを「非常に近いうちに」リリースできる予定であると述べた。
「当社はこの問題を認識しており、ソフトウェアによる修正をすでに用意しており、近日中にリリースする予定です」とアップルの広報担当トルディ・ミュラー氏は述べた。
金曜日、AppleはiOS 7.0.2をひっそりとリリースしました。リリースノートには、このソフトウェアは「SSL接続検証の修正を提供する」と記載されていました。アップデートと同時に公開されたサポートドキュメントには、次のように書かれていました。
iOS 7.0.6データセキュリティ
対応機種: iPhone 4以降、iPod touch (第5世代)、iPad 2以降
影響: 特権ネットワークポジションを持つ攻撃者が、SSL/TLS で保護されたセッション内のデータをキャプチャまたは変更する可能性があります。
説明: セキュアトランスポートが接続の信頼性を検証できませんでした。この問題は、不足していた検証手順を復元することで解決されました。
最新のパッチが適用されたiOSソフトウェアを使用していないエンドユーザーは、共有ネットワークに接続する際に攻撃を受ける可能性があります。悪意のあるユーザーは、トランスポート層セキュリティ(TLS)の傘下にあるセキュアソケットリンクプロトコルを介して送信されるメールやその他のデータを閲覧、改ざん、またはダウンロードする可能性があります。
セキュリティ文書に記載されているように、iOSのセキュアトランスポートは「接続の信頼性を検証できませんでした」。この問題の根本的な原因は、安全な暗号化接続を確立するために使用されるデジタル証明書の不適切な取り扱いと誤認識にあります。
iOSとOS Xの場合、Appleの実装にコード不足があり、証明書の検証に失敗しています。ユーザーが信頼できるサイトだと信じてアクセスした際に、ハッカーが正当な証明書保有者を装い、接続を介して送信されるデータを収集し、実際のサイトに渡す可能性があります。
Apple がこの欠陥をいつ発見したかは正確には不明だが、iOS 版の CVE (Common Vulnerabilities and Exposures) 識別コードは 1 月 8 日に予約され、未知の組織に割り当てられていた。CVE は、既知のソフトウェア セキュリティの脆弱性に関する、公開されている標準化された参照情報である。