iOS 7スレ
7.0.6で変わったことまとめてな
そんなに無いと思うけど
>>191
いわゆる緊急アップデートってやつだから、
SSLに関する部分以外は変わってないんじゃないの?
まぁなんでもないアプデだったな
なんでもないことはない、セキュリティのアップデートなのに
>>241
お前良い事言った!
そうそう、SSLは重要だよ
IDやPWを入力するのが怖いからな
ブラウザーなんかで鍵マーク出てて暗号化されてても、
証明書のうんたらかんたらでIDやPWを盗まれる可能性があるからな……
ってオレの友達が言ってんだけど、そういう意味でOKなのかね?
金曜日にAppleはiOS 7の深刻重大なバグを修復 http://t.co/O5fSewtNlG
— TechCrunch Japan (@jptechcrunch) 2014, 2月 23
7.0.6で修正したバグは相当深刻なものだったっぽいな。
いや、放置しすぎだろww
>>340
これどの段階で出てきたバグなんだろうな
7.0.4だけのバグだったのか7.0.xになってからなのか、あるいはそれ以前からなのか
記事の最後に貼られてるZDNETのリンクを翻訳にかけると
古い端末はヤバいみたいに書かれてるからだいぶ前から筒抜けだったってことかね
*このバグを確認する「https://gotofail.com」というサイトも出来ています。アクセスは自己責任で。
(昨日からデザインが頻繁に変わっているので今はこのデザインでは無いかもしれません)
>>341
4以上は7.0.6にしてくれー。3GSは7無理だから6.1.6用意しました!わざわざ!
ってことは6.xまでは全滅じゃないか?
>>342
ニュアンスとしてはそんな感じだけど、何でこの段階まで誰も見つけられなかったんだろうな
結構クリティカルなバグだから何年も誰も見つけられなかったってのが逆に不思議なんだよな
これってiOS6時代も筒抜けだったのか?
>>386
>>390
iOS7でサポート打ち切った3gsをわざわざアップデートして来たって事は
「脱獄してるからiOS6、iOS5.1.1」(キリッ)
って奴は死亡っぽいな
*iOSではiOS 6.1.3、iOS 7で確認されたそうです。
@runasand Introduced between http://t.co/0oz2EAt0J8 and http://t.co/oayukPWGEd Can NOT reproduce vuln in iOS 5.1.1.
@runasand I can reproduce it in 6.1.3. Don’t have anything 6.0.0 < X < 6.1.3 at hand.
I tested the iOS SSL vulnerability using http://t.co/NedTfOe1gm on these 16 devices. http://t.co/n6eM59puxI
I have confirmed that the SSL vulnerability was introduced in iOS 6.0. It is not present in 5.1.1 and is in 6.0 /cc @markgurman
*iOS 5.1.1にはこの脆弱性は無いようです。(gotofail.comにアクセスしてみたところ)
>>402
おそらくそうだよな。
SSLが数年間筒抜けで放置されていたということは
「安全だから」という理由でiPhone使ってた層が一気に林檎投げ捨てそう。
>>403
コーディング見てみると、単純に筒抜けって訳ではなさそうだけどね。
ずっとエラー処理してそう。
Safari for Macスレ
このバグ酷いな、完全に人為的ミスだし
Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚──原因はタイプミス? | アプリオ http://t.co/dS35C6E7RL
— アプリオ (@Appllio) 2014, 2月 23
gotofailのサイト見て一発で分かるってことは中継サイトに筒抜けじゃん。
セキュリティの専門家がReally badって言うのも納得するわ。
10.6 Snow Leopard ユーザ大勝利
*OS Xでは10.9 Mavericksのみに存在するそうです。
So goto fail was added before October 2013. It is in 10.9 but not 10.8.5; and it is in iOS 6.1 and iOS7…Ouch. Long time to not support SSL
— the grugq (@thegrugq) 2014, 2月 22
>>196
確かにw
if文で括弧を省略したからこそに起こったバグだし、
こんなブラウザ使ってたと思うとぞっとするわw
*sslKeyExchange.cで確認できます。
[sslKeyExchange.c -Apple]
おまけ
この不具合はSafariだけではなく、Calendar, FaceTime, Keynote, Mail, Twitter, iBooksなどにも影響しているそうです。
Here are some of the apps which rely on the vulnerable Apple #gotofail SSL library beyond Safari /cc @a_greenberg http://t.co/ombDOOa01A
Apple’s ‘Gotofail’ Security Mess Extends To Mail, Twitter, iMessage, Facetime And More http://t.co/Toxd7W7zU8
— Andy Greenberg (@a_greenberg) 2014, 2月 23
Confirmed Mail.app on OSX 10.9.1 is vulnerable to Apple #gotofail TLS/SSL bug
(demo using @agl__ test url) http://t.co/PAGpMG5oD1
関連リンク:
これでiOS 7化が進む?SSL/TLS脆弱性のため、iOSデバイスをiOS 7にアップデートするかJBしてパッチを当てるかに迫られている人達。 http://t.co/a2EwlVoLKX
コメント
セキュリティ面が売りの一つだったのにな
まだまだありそう
バグの部分のネストに入ったらgoto failされるのが原因だろうけど
これ、コーディングルール見なおしたほうがいいんじゃね?
if(err) {
goto fail;
}
って波括弧{}があるところもあれば、無いところもあるし。
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
このバグの部分は「else無いし、コピペしちゃうか(笑)」て考えで出来たと思う。
あとインデントが揃ってないのが気になる。
なんだよ また4s 5.1.1 JB 大勝利かよ
Macアップデート来てねー
オープンソースだから信頼性高い!
とかいってる上司の説得材料にするわ
gotoって使うんだね…。
ttp://www.forbes.com/sites/andygreenberg/2014/02/23/apples-gotofail-security-mess-extends-to-mail-twitter-imessage-facetime-and-more/
この記事軽く目を通したが、この脆弱性でman-in-the-middle【中間者攻撃】の可能性があるらしい。
しかもOS Xの場合はFramework(library)が多岐に依存するんでアップデートが遅れてるらしい。
どうしたもんか…(´д`)
OS X Lion 安全だった。
やれやれ。
しょぼいバグってのも問題だがテストしてないんだろ?ってのが恐い。
テストコード書いてないのかよって感じだし、ようするにこんなバグが
見つからずに他にもあるんじゃねーの?とすら思える。
これは6も7にアプデしたほうがいいの?
影響受けるアプリを何一つ使ってなかったので俺的には問題なしwwwww
※10脱獄してたらそっちで修正くるんじゃね?
で、次はユーザーの入力をアプリが監視できるバグですか。
Appleの審査をすり抜けることもできるとかYahooニュースに書いてあったけど···( ;´Д`)
自分は5.1.1touchだからいいけど、友達の多くがiPhone使ってるよ··· (ノд`)
クローズドこわい···