Appleが史上最悪のSSL暗号脆弱性、ネット接続が危険

TOP カテ一覧スレ一覧 100～終まで 2ch元削除依頼
勝手にうpされたiTunes11死ぬほど使いづらいんだが
MacBook Air 277枚目
スティーブの後を追おうと思ってる奴ら
Mac mini Part242Mac mini Part242
【新旧】ポリカ製MacBook Part25【白黒】
ハンペン型iBookをつかい続けるスレ
Mail.app Part 15
Macのある部屋を見せるスレ 144
【Mac死亡】Win10のフォントレンダリングが改良
【本スレ】WWDCで凄いものが発表される！2017その2

1 ：2014/02/23 ～最終レス：2017/12/06: http://japanese.engadget.com/2014/02/22/ios-7-0-6-ssl-os-x/
アップルが iOS のアップデート 7.0.6 をリリースしました。
中身は「SSL接続時の検証に関する問題」の修正。iPhone 4以降,
iPad 2以降, iPod touch (第5世代)それぞれに適用されます。
また iOS 7に対応しない iPhone 3GS, iPod touch (第4世代) には、
同じバグ修正内容の iOS 6.1.6 がリリースされています。
また複数のセキュリティ研究者によると、このSSL接続時のバグは
最新版 OS X 10.9.1 にも存在しており、アップルがパッチを提供するまでは、
中間者攻撃を避けるため信頼できないネットワークには接続しないことが望ましいとされています。
2 ：: 信頼出来ないネットワークって
3 ：: >>2
インターネットのことです。
4 ：: ｢OS X｣にもSSLの脆弱性が存在！ Appleも確認済みで近日中に修正へ！！
http://apple-iphoner.com/mac/mac-osx/4469.html
SSL接続時の検証に関する問題は「iOS」でも存在し、2014年2月22日に同問題を
修正した｢iOS 7.0.6｣と｢iOS 6.1.6｣がリリースされたばかりです。
そして、キュリティ研究者により同じ問題が｢OS X 10.9.1｣でも確認されています。

途中でどのような経路をたどるか分からないインターネットでは、目的の接続先と
手元のエンドツーエンドで経路の信頼性を確保する「SSL」があって初めて多くのサービスが安全に利用できるようになっています。
この部分にバグがあると、買い物や個人情報をやりとりする際、
上のように鍵があり相手の身元が示されていても信用できなくなってしまいます。
5 ：: Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚──原因はタイプミス？
http://appllio.com/20140223-4899-apple-ios-bug-ssl-goto-fail
Appleが公開しているソースコード
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c
笑わしよるわ
6 ：: >>5
要は、Safariを使わなきゃいいんだろってことだよね。
7 ：: Apple「興味ないね」
8 ：: 信頼が揺るぐな
9 ：: >>5
>タイプミス？
コードのどの辺？

10 ：: https://gotofail.com/
にアクセスすると脆弱化どうかが分かる。
コードとしては
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c
の631行目
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
11 ：: goto hell;
にすべき
12 ：: これiOS6もヤバイってこと？
13 ：: >>12
iOS6のアップデータは出てるよ
14 ：: OSXの深刻なバグってなに？
15 ：: >>14
お前がAppStoreだと思ってクレジットカード番号を送信している先はどっかの雑居ビルの一角かもしれない
お前がOSXのアップデータだと思ってダウンロードしているそれはトロイの木馬かもしれない
16 ：: >>14
お前が美女のRだと思って挿入した先は汚いおっさんのアナルかも知れない
17 ：: 10.8は問題ないようだな
18 ：: >>10
1行で済むifだろうがちゃんと複文で書けよという教訓だな
19 ：: 10.9とiOS6以降でSSL使うのにSecurity.frameworkに依存してるアプリが問題、ということかな
20 ：: ほんとだ、iOS6.1.6がきてる。
21 ：: おいらのlionちゃんは大丈夫ってこと？
(´･ω･`)
22 ：: iOS 7.0.6にしたら立体感がなくなってノッペリとしたデザインになった。
LINEとか最悪。
これがフラットデザインなのかなぁ。
次期アップデートでは元に戻して欲しい。(´･ω･`)
23 ：: iOS7にアプデしたくないが今回ばっかりはしょうがないか
24 ：: そらそうよ
外部からソースコード実行したい放題だもんな
winでもここまで酷いのはなかった
25 ：: いやそういう類の脆弱性じゃないから
26 ：: sssp://img.2ch.sc/ico/gikog_teddybear.gif
>>23
早まるな。iOS 7にアップグレードしたら
Macとの統一感がウリだったUIが完全に失われて
おもちゃみたいな目潰しケータイに成り果てるぞ。
iOS 6を脱獄してパッチあてるのが最善やろ。
27 ：: iOS 6のUIもOS Xと統一感あったとは思えんな
28 ：: 怖いのは公衆無線LANで、
本物のSSIDに偽装したニセAPが設置されてるときだよ。
SSIDが同じだから自動接続しちゃうし、
ニセAPはすべてのサイトのサーバ証明書についてMITMできるニセ証明書を返す。
その先の通信は全部丸見え。
自動で走る各種チェックやメール同期とかもあるしぶっちゃけガード不能。
ニセAPは、乞食にノーパソ持たせてマックやスタバで一日座らせとく、
みたいなのが横行してるので
公衆無線LANを使ってた人全員が危険。
29 ：: >>6
Other applications on your system such as mail, chat, financial, social networking and backup apps are also at risk - simply switching browsers will not fully protect you.

30 ：: JKにノーパンでマックやスタバで一日座らせとく？
31 ：: >>30
詳しく話を聞こうじゃないか。
32 ：: 毎日座ってるよ
33 ：: ios 5だと問題ない？
iPhone 4はiOS5で余生を遅らせたいわ
34 ：: 脱獄してパッチ待ちが最善
35 ：: パッチはセーフモードだと無効になるよ
36 ：: スタバでどやってる馬鹿が物故抜かれるのか
メシウマ
37 ：: これスノレパもあかんのか
いままでなんで問題にならなかったんだろう
38 ：: インデントが揃ってないから、diffのマージミス的なものかな
39 ：: コピペのとき1行多く選択しちゃったんだろう
40 ：: 早くアップデートリリースして欲しいな
今はFirefoxで凌いでるけど、
Safariに慣れちゃってるからどうも使い難い
41 ：: 疑問なんだが、今回のこれって
OSの問題としながらブラウザ変えればOKってのはどういうわけだ？
42 ：: 独自のコード使ってるブラウザなら回避できるってことだろ
うちのChromeはWarning出たよ。
43 ：: バックアップソフトや国産ワープロソフト（ ´Д⊂ヽ、10.9で動作しないソフトが結構あるから
10.6と10.8で踏ん張ってきたけどいよいよ強制卒業を迫られることになったか。
まともに縦書き段組み長文管理（アンカージャンプ）もさくっとこなせる10.9対応ソフトって
いまInDesignしかないんだよなあ。
44 ：: >>42
こっちはFirefoxの最新版でWarning出るんだよなぁ
Chromeはいれてないからまだ試してないけど
45 ：: >>43
よく読んで。
10.9にはバグがあるけど、それ以前のやつにバグがあるとは書いてない。
もっとも、書いてないだけでバグがあるのかも知れんが…
(´･ω･`)
46 ：: 10.8ならセーフ？
47 ：: warningなんて出たことないぞ
48 ：: Cydia経由で見知らぬレポジにSSLパッチきたよ
HTTP://TAISY0.COM
49 ：: http://TAISY0.COM
50 ：: この手の知識全く無いから大丈夫と言われても絶対開けんわ…
51 ：: ほら
http://gotton.net/blog/wp-content/uploads/imgs/10142354624.jpg
52 ：: >>51
豚の丸焼き画像でした
53 ：: >>47
>>10 の一番上のアドレスにアクセスして出ない？
>>44で出るのなら、>>40で使ってるバージョンはいくつなんだろう
54 ：: Warningの内容読めよ。
> We have examined your OS and browser version information
> and have determined that your browser shouldn't be vulnerable,
> however other applications on your system such as mail, chat, financial,
> social networking and backup apps are at risk.
>
> Please re-run this test from Safari to confirm!
55 ：: >>54
> Please re-run this test from Safari to confirm!
なるほどorz
56 ：: SSL/TLS使ってるのはブラウザだけじゃないから事態は恐ろしく深刻
57 ：: とりあえずSafari使わなければいいってこと？
58 ：: >>57
おまえんちのホームネットワークとお前の契約してるISPが信用できないほどブラックなら、そうした方がいいよ。
59 ：: ICloudもやばい？
60 ：: ｽﾚ読まないヤツ大杉
・件の脆弱性があるのはiOS 6と7、OS X 10.9。それ以前は無さげ。
・通信してる各種アプリ全般に関わる所の問題だからブラウザ変えても万全じゃねーど。
61 ：: >>60
その「無さげ」ってところが気になる
スノレパやライオンがOKということなら自分は安心なんだけど
Appleはその辺はっきりして欲しい
62 ：: そもそも10.6や10.7には10.9に無い脆弱性があるだろ
OSのアップデートってのは機能の追加とかだけじゃないんだよ
63 ：: >>62
そうなんだろうけど、今でもスノレパやライオンにもセキュリティアップデートが来るじゃない
ということは一応Appleが認識している問題点はクリアされていて、
サポートされているということじゃない？
64 ：: なんでMacは放置なんだAppleよ…
65 ：: >>64
>なんでMacは放置なんだAppleよ…
10.9.2 のリリースと一緒にしようかと思案中かな。
66 ：: >>40
>今はFirefoxで凌いでるけど、
Firefoxで凌ぐって、
Safariってそんなに良いの？
67 ：: >>66
iOSにFireFoxがない。
68 ：: あれ？
10.9.2 が来ているね。解決したとのこと。 by 65
http://www.macrumors.com/2014/02/25/osx-update-ssl-facetime-audio/
40分前の記事か・・
69 ：: 10.9.2入れて、gotofail.comで確認した。
しかしリリース情報にその辺書いといてほしいよね。
70 ：: About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001
http://support.apple.com/kb/HT6150
■Data Security
Available for: OS X Mavericks 10.9 and 10.9.1
Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS
Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.
CVE-ID
CVE-2014-1266
てことで10.9.2で治ってる模様
71 ：: >>68
そらさすがに早急にPatchださないとアポーの信頼ガタ落ちだからなぁ
72 ：: こんな酷いセキュリティホール出した時点で普通は信頼ガタ落ちだけどね
法人向けやってなくてよかったね
73 ：: お前の信用は既に落ちている
74 ：: しばらくは、iOSは一番危険だから買わない方がいいって考え方をするしかないね。
75 ：: だからってAndroidが安全か？と言われるとそれも違うし
やっぱガラケー最強か？
76 ：: >>75
比較論でしかないが、一番危険なiOSは論外。
77 ：: スノレパのsafariでチェックサイトにアクセスしたらsafeって出てた
78 ：: これってさ、公共無線も危ないって話だけど、
モバイルルータ（docomoとかWiMaxとかEMOBILEとか）のたぐいも危なかったわけ？
ipadとかモバイルルータでつないでる人山ほどいると思うんだけど
高い金払って1Passwordとか使っててもだだ漏れだったわけ？
79 ：: >>78
ニセAPは、本物APのSSIDと同じSSIDを使うことで
被害者が接続してくるのを待ち受ける。
で、SSID自体はWIFI-APが周囲の誰でも傍受できるよう公開情報として無線電波上で発信してるので、
別に公衆無線LANのSSID以外でも、悪意あるものは近くのSSIDを全部拾えるし、
拾ったSSIDにその場でなりすますとかもできる。
これは悪意あるものからしても手間とかかかるが、
企業のオフィス内部の本物APのSSIDになりすましたニセAPを仕掛ける場合などには実際に使われる手口。
そういう能動的なニセAPに運悪く引っかかった個人の被害者は、
モバイルルーター的なものを使ってても
今回のiOSの超絶脆弱性と合わせ技で即死ダメージを受けてる恐れはある。
80 ：: 10.8もセキュリティアプデ来てるお
81 ：: >>22
セキュリティ気にしてOSのバージョンアップをしながら、マルウェアのLINE使うのか
82 ：: SSIDはステルスにして、さらにGoogleに勝手に拾われないため末尾に_nomapを付けてるわ
83 ：: Appleヤバすぎだろ…
84 ：: >>82
SSIDのステルスは、AP側が叫ぶ内容を伏せるには意味があるけど、
接続クライアント側がAPに向かって送信する通信には載ってくるし、
この部分はWPAなどの無線区間暗号化が有効でも暗号化されない場所なので
結局悪意あるものからすると
クライアント側の通信内容の方を拾うことで
近場のAPのSSIDを知ることができる。
85 ：: ヤバイよ！ヤバイよ！Appleヤバイよ！！、
なんかよくわかんないけど、そーとーヤバイよ！
86 ：: 見損なったよApple
クソみたいな回数
開発者向けにパッチリリースして
テストさせてるのはなんのためだったのか
87 ：: 開発者も自分に影響あるとこしかテストしないからな
88 ：: >>86
開発者が自分のアプリをテストするためだよ。
89 ：: sssp://img.2ch.sc/ico/gikog_teddybear.gif
>>27
それは君の目と感覚がおかしいんじゃないかな。
OS XのSafari
http://core0.staticworld.net/images/article/2013/10/safari7_icon-100066387-gallery.png
iOS 6 と 7のSafariの比較
http://iosguides.net/wp-content/uploads/2013/06/Safari-Icons-Comparison.jpg
マジで7のデザインって死んでるとしか思えん。
OS Xにまでこの糞似非フラットの波が押し寄せてきたら
もうMacからサヨナラするしかなくなるわ。
90 ：: さようなら、また来月な！
91 ：: 10.9.2アプデ来てたけど入れたらSafariで>>10やってもSafe表示になったで
取り急ぎ
92 ：: 10.7.5で試してみたらchrome firefox safari いずれもsafe だった
これで安心していいのかな？
93 ：: iPod 5thの6.1.xを6.1.6にすることはできないのかな、これ。
7.0.6にアップデートするしかないと悲しい。
94 ：: iPhoneとiPadを7にアップデートするハメになっちまったな
こんなクソみたいなアイコンのOSになんかしたくなかったんだが
AppleのアホRや
95 ：: 【アップル】リリースされたばかりの「iOS7.0.6」にバッテリー消費が速くなる問題発覚 / 一部ユーザーの間で不具合発生中
http://rocketnews24.com/2014/02/27/417856/
なんかこんな記事あった
96 ：: >>94
アホですか？
97 ：: OS X、iOSはセキュリティバッチリ（ｷﾘｯ）とか情強が言ってたのに！
マスコミでさえ言ってたのに！
嘘だったのかッ！
98 ：: iPadアプデしようとしても空き容量が4GB必要ですと出るんだけど
16GBでそんなにあけられるわけないだろ
99 ：: >>98
>16GBでそんなにあけられるわけないだろ
だから128GBを買えと・・
100 ：: >>98
バックアップとって出荷状態に復元してアップデートすればいいんじゃね？

100～のスレッドの続きを読む

OSXのｳﾌﾟﾃﾞｰﾀﾝで問題発生(ｫ･?･`) ｼｮﾎﾞｰﾝ＜14＞
Apple Keynote 9/11
【】BitTorrent 8GB【】
WindowsよりMacのほうがいいところあげてって
Mac OS X 10.6 Snow Leopard Part 47
Airmail2
FTPソフトって、どれ使ってる？
macOS 10.14 Mojave その9
【新・mac】書き込みテスト Part3
2chブラウザ-BathyScaphe-潜航深度74m
--------------------
【TAEMIN】SHINee☆テミン雑談スレ Part91【태민】
アルペンレーサー達集合！★彡
ベイトショアジギング＆プラッギング4
◆人間やめてるドス黒AB型女◆
【知識】信号待ち時にパーキングブレーキを使ってブレーキペダルから足を離してもいいのか？
【LINE】ガンダムウォーズ 152機目【詐欺運営】
鹿嶋港釣りスレ Part4
ポリッシャーで車を磨くスレ part7
青森のアクアショップ5
【OM】 Olympique de Marseille 【Part9】
結婚、子供を作る努力もしない奴は男も女もウンコ製造機、まぎれもない事実。死ぬ気で子供作れ
パナソニック社員が自殺しました
絶望は在日朝鮮人
存在感、演技がエアーな佐々木希
芋OFF
【らよん県】近所の雌犬を拉致して性的暴行を加えたと思われる男を逮捕
【AVA】Alliance of Valiant Arms 未満専SD0.08
水晶振動子＆水晶発振器を鋭く語るスレ　3
☆復活★　　　ビジネス・ファーストクラスを使う旅行part８【無断転載即日現金払い】
【PC】Shadowverse Part58【シャドウバース】
TOP カテ一覧スレ一覧 100～終まで 2ch元削除依頼