iOS 7.0.6で修正されたSafariのSSLバグが酷いと話題。(OS X 10.9 MavericksのSSLにも)

スポンサーリンク


iOS706-Hero

iOS 7スレ

191: iPhone774G 2014/02/22(土) 18:34:57.55 ID:uAK3P7c60

7.0.6で変わったことまとめてな
そんなに無いと思うけど

193: iPhone774G 2014/02/22(土) 18:40:12.17 ID:Hse/WK+70

>>191
いわゆる緊急アップデートってやつだから、
SSLに関する部分以外は変わってないんじゃないの?

240: iPhone774G 2014/02/22(土) 23:50:07.29 ID:GqLOHWbD0

まぁなんでもないアプデだったな

241: iPhone774G 2014/02/23(日) 00:00:45.54 ID:ikb+tQeo0

なんでもないことはない、セキュリティのアップデートなのに

243: iPhone774G 2014/02/23(日) 00:11:34.50 ID:eZdaquMo0

>>241
お前良い事言った!
そうそう、SSLは重要だよ
IDやPWを入力するのが怖いからな
ブラウザーなんかで鍵マーク出てて暗号化されてても、
証明書のうんたらかんたらでIDやPWを盗まれる可能性があるからな……

ってオレの友達が言ってんだけど、そういう意味でOKなのかね?

340: iPhone774G 2014/02/23(日) 18:02:46.08 ID:XUUWSu6Z0

7.0.6で修正したバグは相当深刻なものだったっぽいな。
いや、放置しすぎだろww

341: iPhone774G 2014/02/23(日) 18:10:15.30 ID:W2yL923z0

>>340
これどの段階で出てきたバグなんだろうな
7.0.4だけのバグだったのか7.0.xになってからなのか、あるいはそれ以前からなのか
記事の最後に貼られてるZDNETのリンクを翻訳にかけると
古い端末はヤバいみたいに書かれてるからだいぶ前から筒抜けだったってことかね


*このバグを確認する「https://gotofail.com」というサイトも出来ています。アクセスは自己責任で。
(昨日からデザインが頻繁に変わっているので今はこのデザインでは無いかもしれません)

Safari-SSL-gotofail-bag-ios7x

342: iPhone774G 2014/02/23(日) 18:35:19.27 ID:uZrkafH40

>>341
4以上は7.0.6にしてくれー。3GSは7無理だから6.1.6用意しました!わざわざ!

ってことは6.xまでは全滅じゃないか?

343: iPhone774G 2014/02/23(日) 18:53:02.78 ID:W2yL923z0

>>342
ニュアンスとしてはそんな感じだけど、何でこの段階まで誰も見つけられなかったんだろうな
結構クリティカルなバグだから何年も誰も見つけられなかったってのが逆に不思議なんだよな

386: iPhone774G 2014/02/23(日) 22:00:15.28 ID:dtt4sYqu0

これってiOS6時代も筒抜けだったのか?

402: iPhone774G 2014/02/23(日) 23:28:41.58 ID:O+GaUQG+0

>>386
>>390
iOS7でサポート打ち切った3gsをわざわざアップデートして来たって事は
「脱獄してるからiOS6、iOS5.1.1」(キリッ)
って奴は死亡っぽいな

*iOSではiOS 6.1.3、iOS 7で確認されたそうです。

   iOS511-gotofail-bug
*iOS 5.1.1にはこの脆弱性は無いようです。(gotofail.comにアクセスしてみたところ)

403: iPhone774G 2014/02/23(日) 23:37:03.75 ID:dtt4sYqu0

>>402

おそらくそうだよな。

SSLが数年間筒抜けで放置されていたということは
「安全だから」という理由でiPhone使ってた層が一気に林檎投げ捨てそう。

412: iPhone774G 2014/02/24(月) 00:25:25.62 ID:KpQP4RlJ0

>>403
コーディング見てみると、単純に筒抜けって訳ではなさそうだけどね。
ずっとエラー処理してそう。

Safari for Macスレ

195: 名称未設定 2014/02/23(日) 23:48:06.15 ID:cB3ZrX250

このバグ酷いな、完全に人為的ミスだし

gotofailのサイト見て一発で分かるってことは中継サイトに筒抜けじゃん。
セキュリティの専門家がReally badって言うのも納得するわ。

196: 名称未設定 2014/02/23(日) 23:50:56.33 ID:qjyeB4KP0

10.6 Snow Leopard ユーザ大勝利


*OS Xでは10.9 Mavericksのみに存在するそうです。

  Safari-SSL-gotofail-bug-Mavericks2

197: 名称未設定 2014/02/24(月) 00:02:58.38 ID:tc/J7Wfi0

>>196
確かにw
if文で括弧を省略したからこそに起こったバグだし、
こんなブラウザ使ってたと思うとぞっとするわw

*sslKeyExchange.cで確認できます。
sslKeyExchange

[sslKeyExchange.c -Apple]

おまけ

 この不具合はSafariだけではなく、Calendar, FaceTime, Keynote, Mail, Twitter, iBooksなどにも影響しているそうです。


関連リンク:


[引用元:
1
2
]

コメント

  1. Apple7743 より:

    セキュリティ面が売りの一つだったのにな
    まだまだありそう

  2. Apple7743 より:

    バグの部分のネストに入ったらgoto failされるのが原因だろうけど
    これ、コーディングルール見なおしたほうがいいんじゃね?
    if(err) {
    goto fail;
    }
    って波括弧{}があるところもあれば、無いところもあるし。
    if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
    goto fail;
    goto fail;
    このバグの部分は「else無いし、コピペしちゃうか(笑)」て考えで出来たと思う。
    あとインデントが揃ってないのが気になる。

  3. Apple7743 より:

    なんだよ また4s 5.1.1 JB 大勝利かよ

  4. Apple7743 より:

    Macアップデート来てねー

  5. Apple7743 より:

    オープンソースだから信頼性高い!
    とかいってる上司の説得材料にするわ

  6. Apple7743 より:

    gotoって使うんだね…。

  7. Apple7743 より:

    ttp://www.forbes.com/sites/andygreenberg/2014/02/23/apples-gotofail-security-mess-extends-to-mail-twitter-imessage-facetime-and-more/
    この記事軽く目を通したが、この脆弱性でman-in-the-middle【中間者攻撃】の可能性があるらしい。
    しかもOS Xの場合はFramework(library)が多岐に依存するんでアップデートが遅れてるらしい。
    どうしたもんか…(´д`)

  8. Apple7743 より:

    OS X Lion 安全だった。
    やれやれ。

  9. Apple7743 より:

    しょぼいバグってのも問題だがテストしてないんだろ?ってのが恐い。
    テストコード書いてないのかよって感じだし、ようするにこんなバグが
    見つからずに他にもあるんじゃねーの?とすら思える。

  10. Apple7743 より:

    これは6も7にアプデしたほうがいいの?

  11. Apple7743 より:

    影響受けるアプリを何一つ使ってなかったので俺的には問題なしwwwww

  12. Apple7743 より:

    ※10脱獄してたらそっちで修正くるんじゃね?

  13. Apple7743 より:

    で、次はユーザーの入力をアプリが監視できるバグですか。
    Appleの審査をすり抜けることもできるとかYahooニュースに書いてあったけど···( ;´Д`)
    自分は5.1.1touchだからいいけど、友達の多くがiPhone使ってるよ··· (ノд`)
    クローズドこわい···