米国 Apple は4月22日、モバイル OS「iOS」、デスクトップ OS「OS X」向けのパッチと、ワイヤレスベースステーション「AirMac」のファームウェアアップデートをリリースした。AirMac 向けファームウェアは、Heartbleed 脆弱性に対応している。

Apple、iOS・OSX 向けパッチと、Heartbleed に対応した AirMac ファームをリリース

パッチの中には、iOS と OS X の両方に影響するものがある。その1つは「トリプルハンドシェイク」と呼ばれる攻撃に対応したパッチだ。Apple のセキュリティアドバイザリには次のようにある。

「ネットワーク上で特権的なポジションにある攻撃者が、SSL によって保護されたセッション内で、データを取得したり、オペレーションを改ざんする可能性がある」

iOS と OS X に共通した脆弱性としては、CFNetwork HTTP Protocol 実装に関するものも含まれている。Apple はこの脆弱性について、次のように警告している。

「ネットワーク上で特権的なポジションにある攻撃者が、Web サイト認証情報を取得可能になる」

iOS 7.1.1


iOS 7.1.1 アップデートでは、Apple は Safari Web ブラウザのエンジンである WebKit に関するセキュリティパッチを提供している。そのいくつかは、Apple が4月1日にリリースしたデスクトップ版 Safari 向けパッチと同じ内容のものだ。

今回修正された WebKit 脆弱性の中には、3月に開催されたブラウザハッキングコンテスト Pwn2own で指摘された脆弱性も含まれている。

Heartbleed

Apple はワイヤレスベースステーション「AirMac」向けのパッチもリリースした。これには、Heartbleed 関連のセキュリティアップデートも含まれている。Apple のアドバイザリには次のようにある。

「ネットワーク上で特権的なポジションにある攻撃者が、プロセスメモリーから情報を取得する可能性があった。この問題は、バウンドチェック機能を改善することで対応されている」

Apple は、影響を受けるシステムは 802.11ac を有効にした「AirMac Express」と、「AirMac Time Capsule」だとしている。

影響を受けるシステムは 802.11ac を有効にした「AirMac Express」と、「AirMac Time Capsule」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。