Apple 社は先週リリースされた iOS 7.0.6 (ファームウェアをアップグレードしなくてもアップデートを適用できる) で危険な SSL 脆弱性に対する迅速な修正をリリースしたほか、99 ドルのストリーミング ボックスである Apple TV 用の付随アップデートもリリースした。
Apple TV 6.0.2 ソフトウェアアップデート (iDB 読者の Gil 氏による情報提供) はビルド番号 6646.81.1 で、攻撃者が正規のサイトを装って iTunes Store やその他のサービスで使用されるユーザー名とパスワードを盗むことを可能にする SSL バグを修正しています。
この脆弱性は Apple の Safari ブラウザに影響を及ぼすため、Apple TV ユーザーは Mac ユーザーのように必ずしも直ちに危険にさらされるわけではない…
Apple TV 6.0.2 ソフトウェアアップデートのリリースノートには、このバグにより、特権ネットワークポジションを持つ攻撃者が「SSL/TLSプロトコルで保護されたセッション内のデータをキャプチャまたは変更」できる可能性があると記載されています。
「セキュア・トランスポートは接続の信頼性を検証できなかった」と同社は説明している。
この問題は、不足していた検証手順を復元することで解決されました。新しいファームウェアは5日前にリリースされ、2014年にAppleがApple TV向けに実施した最初のセキュリティアップデートとなります。
Apple が次の点にも言及しているのも興味深い。
Apple では、ユーザ保護の観点から、完全な調査が終了し必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。
同社は、OS X Mavericks システム向けの緊急修正プログラムを発行しなかったとして批判されている。
このパッチは第 2 世代以降の Apple TV で利用可能で、「設定」>「一般」>「ソフトウェアアップデート」>「ソフトウェアをアップデート」を選択して手動で適用できます。
セキュリティ研究者は今朝、このバグを悪用して SSL で暗号化されたトラフィックのほぼすべてを取得できることを報告しました。
これには、ユーザー名とパスワードだけでなく、Apple のアプリのアップデート、iCloud データ、KeyChain の登録とアップデート、カレンダー アプリケーションのデータ、Find My Mac のアップデート、証明書ピン留めを使用するアプリ (Twitter など) からのトラフィックなど、他のデータの宝庫も含まれます。
