ニュース
» 2014年02月26日 19時26分 UPDATE

「goto fail」を修正、早期の適用を推奨:アップル、SSL/TLSの脆弱性を修正するOS X向けアップデートを公開

米アップルは2014年2月25日、OS X Mavericks向けのアップデート「v10.9.2」および「Security Update 2014-001」をリリースした。

[高橋睦美,@IT]

 米アップルは2014年2月25日、OS X Mavericks向けのアップデート「v10.9.2」および「Security Update 2014-001」をリリースした。先に2月21日付でiPhoneやiPad向けにリリースされたセキュリティアップデート「iOS 7.0.6」「iOS 6.1.6」同様、SSL/TLS接続に関する脆弱性(CVE-2014-1266)も含めた多数の脆弱性を修正しており、早期の適用が望ましい。

 このSSL/TLSに関する脆弱性は、非常に単純なミスに起因しながら深刻な影響を及ぼすものだ。接続時の認証を検証するステップに不備があり、SSL/TLSで保護されているはずの通信――IDやパスワード、あるいはクレジットカード番号といった重要なデータが含まれることが多い――が第三者に盗聴されたり、改ざんされたりする恐れがある。

 セキュリティ専門家がソースコードを解析したところ、原因は、証明書をチェックする処理の記述にあった。if文に対する「goto fail」の後に、おそらくミスによって同じ一行が余分に記述されていた。この結果、2つ目の「goto fail」が常に実行されるため、以降の処理はすべてスキップされ、どのような場合でも検証処理が成功するようになっていた。

 今回のアップデートにはMountain Lion/Lion向けも含まれているが、SSL/TLSの脆弱性が影響するのはMavericksのみで、また利用しているブラウザーによっても影響は異なる。この脆弱性の有無をチェックできるサイトも公開されている。

mt_gotofail.png

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。