米国 Apple は OS X デスクトップ OS と、iOS モバイル OS をアップデートした。Secure Sockets Layer(SSL)暗号化実装に関連した脆弱性に対応している。iOS 7.0.6 は2月21日に、OS X Maverick 10.9.2 は2月25日にリリースされた。

今回のアップデートで話題になっているのは、共通脆弱性識別子「CVE-2014-1266」として認識されているもの。Apple のセキュリティアドバイザリには次のようにある。

「特権のあるネットワークポジションを利用するアタッカーによって、SSL/TLS によって保護されたデータが取得、変更される可能性がある」

セキュリティ研究者 Adam Langley 氏は、この問題はソースコード中の "goto fail" ステートメントの誤った記載によって、認証ステップがスキップされてしまうことで発生していたと指摘している。

Apple、iOS 7.0.6 と OS X 10.9.2 をリリース ― だが、未修正の脆弱性はまだ他にもある
問題となったソースコード

未修正の脆弱性は他にもまだ存在している

"goto fail" は、iOS の唯一のセキュリティ問題ではない。FireEye は、iOS で新たに発見された、パッチ未適用の脆弱性について詳細を公表している。この脆弱性を悪用すれば、ユーザーの承認なしで、情報をバックグラウンドで収集可能なアプリを開発できる。

「我々は概念実証の目的で、脱獄されていない iOS 7.0.x 上で動作するモニタリングアプリを開発した。このモニタリングアプリを使えば、利用者のタッチ操作をすべて記録できる。画面へのタッチだけでなく、ホームボタンやボリュームボタン、TouchID を押したことも記録し、リモートサーバーに送信可能だ」

FireEye の広報担当者は eWeek に対し、Apple はすでにこの脆弱性について FireEye から報告を受け、修正に向けて取り組んでいると述べた。eWeek は Apple に対してもこの件に関するコメントを求めたが、回答を得ることはできなかった。

FireEye はこの脆弱性について、利用者に次のアドバイスをしている。

「iOS ユーザーがこのセキュリティリスクを避ける唯一の方法は、iOS タスクマネージャを利用して、アプリのバックグラウンドでの実行を止めることだ。そうすれば、バックグラウンドでのモニタリングを防げる」

OS X 10.9.2

OS X 10.9.2 では SSL 脆弱性ばかりが注目されている。この問題が、iOS とまったく同じものだったためだ。だが、OS X アップデートで修正された脆弱性は他にもある。

Apple は OS X 向け QuickTime メディアプレイヤーの6つの脆弱性に対応した。脆弱性の多くは、アタッカーが任意のコードを実行可能にするものだった。

脆弱性の中には、利用者が細工を施した JPEG 画像ファイルを表示するだけで、メモリーの内容が曝される危険性のあるものもあった。Apple はこの問題を、JPEG ファイルの扱いを改善することで対応している。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。