Apple、OS XとiOSのXARA脆弱性についてコメント。サーバーサイドのセキュリティはアップデート済で、他の脆弱性についてはセキュリティ研究者と協力して対応中。

スポンサーリンク

 AppleがiMoreの取材に対しOS XとiOSのXARA脆弱性についてコメントしたそうです。詳細は以下から。


Keychan-Hero1


 先日、Keychain Accessを含めたAppleの複数のシステムにXARA(Unauthorized Cross-app Resource Access)脆弱性があることが公開されましたが、このXARAについてiMoreがAppleに取材したところ、Appleの広報は「今週初めサーバーサイドの安全なアプリのデータを更新し、Mac App StoreからSandboxの構成問題があるアプリをブロックしました。我々は現在進行中の修正プログラムを持っており、セキュリティ研究者と協力して彼らが論文で主張している不具合についても調査中です」とコメントしたそうです。

Update: Apple has provided iMore with the following comment on the XARA exploits:

Earlier this week we implemented a server-side app security update that secures app data and blocks apps with sandbox configuration issues from the Mac App Store,” an Apple spokesperson told iMore. “We have additional fixes in progress and are working with the researchers to investigate the claims in their paper.”

[Apple comments on XARA exploits, and what you need to know | iMore]

 サーバーサイドの修正はBID(Bundle ID)の”Container Cracking”だと思われますが、XARA脆弱性は複数のタイプに分類(Keychain, BID, WebSocket, URL scheme)されており、全て修正されるにはしばらく時間がかかりそうです。


XARA-Consequence

関連リンク:

コメント

  1. Apple7743 より:

    えがった、えがった

  2. Apple7743 より:

    蕎麦屋の出前のような模範解答。暴露されるまで放っておいたんだろ。
    まぁ、そもそもパスワード管理を手抜き出来るソフトを使わないことが
    最善策。

  3. Apple7743 より:

    >>2
    どうやってパスワード管理してるんだ?暗記とか言うなよ

  4. Apple7743 より:

    >>3
    暗記以上にわかりやすくてセキュリティの高い方法は他にないような気もするが。
    100以上管理してるならならともかく10や20くらいなら覚えろよ。結構できるもんだよ。

  5. Apple7743 より:

    パスワードを使い回せば10や20まで削減できそうだな。

  6. Apple7743 より:

    自分用のパスワード生成規則を1つ覚えときゃいいんだよ。
    「jobs + サイトのドメインを逆から」って感じでね(例:jobs2hcelppa)
    これならサイトごとに固有のパスワードを生成出来るし、忘れることもない。
    リスト型攻撃にも遭いにくい。
    今やパスワード使い回しはリスト型攻撃で終わるからダメ絶対。