Apple News

Apple News

IOS7.0.6があなたが思っているよりもずっと重要なアップデートである理由

instagram viewer

2月21日、 AppleはiOS7.0.6をリリースしました、「SSL接続検証の修正」を提供する小さなソフトウェアアップデート。 同じSSL修正が古いiOS6デバイスとAppleTVにもリリースされました。 Appleは時々小さなバグ修正をプッシュしているので、一見すると7.0.6はかなり普通のアップデートのように見えた。

しかし実際には、Appleはパッチを当てました 重大なセキュリティ上の欠陥 これは、何百万もの人々のデータを何年にもわたって危険にさらしている可能性があります。 「gotofail」と呼ばれるこのバグは、かなり前からレーダーの下で飛んでいましたが、OSXではまだパッチが適用されていません。

Gotofailは 伝えられるところでは iOS 6の導入以来存在しており、その影響は非常に深刻です。 これまで、SSL接続を介してインターネットを使用するiOSデバイスは、ハッカーがデータを傍受したり、「中間者」攻撃を受けたりする可能性がありました。

基本的に、このバグにより、SSL / TLSを介した安全なWebトラフィックが同じネットワーク上の他の誰かによってハイジャックされる可能性があります。 これは、欠陥を知っている人にとっては比較的簡単なプロセスです。

警備会社 CrowdStrike 説明:

iOSおよびOSXプラットフォームの認証ロジックに欠陥があるため、攻撃者は最初の接続ハンドシェイク時にSSL / TLS検証ルーチンをバイパスできます。 これにより、攻撃者は、お気に入りのWebメールプロバイダーなどの信頼できるリモートエンドポイントから来たように見せかけ、暗号化されたものを完全に傍受することができます。 あなたと宛先サーバーの間のトラフィック、および飛行中のデータを変更する機能を提供します(エクスプロイトを配信してあなたを制御するなど) システム)。

Gotofailは、SafariやメッセージなどのAppleのアプリとサービスに限定されています。 したがって、Chromeのようなサードパーティのブラウザで十分です。

Appleのソフトウェア更新メカニズムなど、OSXの多くの部分は依然として脆弱です。

脆弱なAppleに依存しているアプリのいくつかを次に示します #gotofail Safari / cc以外のSSLライブラリ @a_greenbergpic.twitter.com/ombDOOa01A

—アシュカン・ソルタニ(@ ashk4n) 2014年2月23日

他の有名なハッカーは、調査結果について懸念を表明しています。

悪者がAppleが修正したSSLバグを悪用するのにiOSの専門知識は必要ありません。 通常のiOSのバグよりもはるかに多くの人が(悪い場合に)SSLのバグを悪用する可能性があります

— MuscleNerd(@MuscleNerd) 2014年2月22日

公共のWi-Fiネットワーク(ソチ?)を利用している場合は、iOS 7.0.6に更新されていない場合は、iOSデバイスを使用しないでください。 MacBookは使用しないでください。 — pod2g(@ pod2g) 2014年2月22日

ええ、iOS <7.0.6のセキュリティは今とても悪いので、私はみんなに早く更新するようにアドバイスします。 — pod2g(@ pod2g) 2014年2月22日

理解するのは難しくありません:HTTPSはOSXおよびiOS <7.0.6では機能しません。 パスワードとクレジットカードのクレジットは、ネットワーク上で傍受される可能性があります。

— pod2g(@ pod2g) 2014年2月22日

銀行でさえ顧客に連絡を取り、iOS7.0.6にすぐにアップデートするようにアドバイスしています。 「情報が可能な限り安全であることを確認するために、できるだけ早くこのアップデートをインストールする必要があります」とオンラインのみの銀行は警告しました 単純 昨日顧客へのメールで。

これらすべてについておそらく最も憂慮すべきことは、 大胆な火の玉のジョングルーバー. Gotofailは2012年9月のiOS6のリリースで導入され、Appleは2012年10月にNSAの「PRISM」スパイプログラムに追加されました。

設置が完了すると、NSAはソースコードを手動で読み取ってバグを見つける必要さえありませんでした。 必要なのは、すべてのOSの新しいリリースごとに実行されるスプーフィングされた証明書を使用した自動テストだけです。 AppleはiOSをリリースし、NSAの自動化されたなりすまし証明書テストが脆弱性を発見し、ブーム、AppleはPRISMに「追加」されます。

または、おそらく何もありません、そしてこれはすべて偶然です。

Appleは昨夜声明を発表した。 ロイター、OSXにまだ存在する同じSSLバグを認識していると述べています。 修正はまもなく発行されます:

Apple Incは土曜日に、スパイやハッカーがMacコンピュータから電子メール、財務情報、その他の機密データを取得する機能を遮断するソフトウェアアップデートを「すぐに」発行すると発表した。

金曜日遅くに研究者の調査結果を確認すると、iPhoneとiPadの主要なセキュリティ上の欠陥が実行中のノートブックとデスクトップマシンにも現れる Mac OS X、Appleの広報担当者Trudy Mullerは、ロイターに次のように語っています。 すぐ。"

click fraud protection

カテゴリ

最新のブログ投稿

| マックのカルト
October 21, 2021

このアプリで学ぶのを待っていたコーディング言語をマスターする[お得な情報]Swiftやその他の広く使用されているプログラミング言語のコースに生涯アクセスして、内部開発者を解き放ちましょう。写真:Cult ofMacお得な情報コーディングに骨を折るつもりなら、あらゆる種類のコンピューター言語をカ...

開発者は、AppStoreのプライバシーラベルに記入するための新しいルールを取得します
October 21, 2021

開発者は、AppStoreに表示されるプライバシーの「栄養表示」に記入するための手順を更新しました。 追加と説明があります。Appleは、ユーザーに表示されるこれらのプライバシーラベルの情報を提出するよう開発者に求めています。 開発者の応答がどれほど正確であるかについて質問がありました—以下を...

Apple Watch Series 7テスターは、発売前に実際の写真を投稿します
November 09, 2021

Apple Watch Series 7テスターは、発売前に実際の写真を投稿しますApple Watch7が実際に撮影されたのは初めてです。写真:匿名/ MacRumorsApple Watch Series 7は、先月の発表以来、初めて現実の世界で撮影されました。 画像は、デバイスの新しいデ...