Oligur

• ニュース

Apple は、AirPort ベースステーションの Heartbleed バグを修正するセキュリティパッチと、Apple TV および Mac 用の SSL ベースのセキュリティアップデートをリリースしました。

できるだけ早くすべてを更新したほうがよいでしょう。

でも、慌てる必要はありません。この脆弱性は、新しいAirPortベースステーションで「どこでもMy Mac」が有効になっている場合にのみ発生します。

影響: 特権ネットワークポジションにいる攻撃者がメモリの内容を取得する可能性がある

説明：OpenSSLライブラリにおいて、TLSハートビート拡張パケットの処理時に境界外読み取りの脆弱性が存在していました。特権ネットワークポジションにいる攻撃者がプロセスメモリから情報を取得する可能性がありました。この問題は、境界チェック機能を追加することで解決されました。802.11ac対応のAirPort ExtremeおよびAirPort Time Capsuleベースステーションのみが影響を受け、かつ「どこでもMy Mac」または「診断情報を送信」が有効になっている場合にのみ影響を受けます。その他のAirPortベースステーションはこの問題の影響を受けません。[強調追加]

Apple TVとMacのアップデートには、「トリプルハンドシェイク」攻撃と呼ばれるものへの修正が含まれています。これはストリートファイターIIの必殺技としては派手ではありませんが、本来はそうあるべきです。代わりに、以下の修正が加えられています。

影響: 特権ネットワークポジションを持つ攻撃者が、SSL で保護されたセッションで実行されるデータをキャプチャしたり、操作を変更したりする可能性がある。

説明: 「トリプルハンドシェイク」攻撃では、攻撃者は同じ暗号鍵とハンドシェイクを持つ2つの接続を確立し、一方の接続に攻撃者のデータを挿入し、再ネゴシエーションを行うことで、接続が相互に転送される可能性があります。このシナリオに基づく攻撃を防ぐため、セキュアトランスポートが変更され、デフォルトでは、再ネゴシエーションでは元の接続で提示されたものと同じサーバー証明書が提示されるようになりました。

私は、このようなことが起こったときに警告している親しい友人のメーリング リストにアクセスし、インターネットに接続できない時間が長くならないように、自分自身の更新を調整するつもりです。

出典：アップル