TechCrunchによると、2/21にリリースしたiOS 7.0.4にて修正されたSSLの脆弱性について、非常に深刻なバグだったと伝えています。
Wiredでは以下のように取り上げていたようです。
“Appleの昨日の発表があまりに簡潔なので、インターネットの暗号に関する高名な専門家たちは、そのバグの性質について訝(いぶか)った。バグの詳細を非公開で調べ始めた彼らは、いろいろ分かってくるにつれて、仰天のあまり沈黙してしまった。ジョンズホプキンズ大学の暗号学の教授Matthew GreenはTwitterのツイートで、‘Appleのバグの正体が分かった。相当ひどいバグだ’、と述べた”。
セキュリティの専門家たちが調べたところ、認証コードの中に不要な「goto」が書かれており、その1行により、認証プロトコルを通過してしまうという内容だったようです。
また、このバグはOS X側にも含まれているとしており、近日中にアップデートすると伝えています。
確かにさらっとしたアップデート内容だったから、気付かなかったけど、これさっさとアップデートしないとまずいかも…。というか、SSLのバグってなるともしかして本アップデート以外の全てのiOSって対象になるってこと?となると、影響範囲めちゃめちゃ大きいんじゃ…
0 件のコメント:
コメントを投稿