[]
アップルがiOSの暗号化システムに重大な脆弱性を発見し、早急に修正する必要があると発表した後、他の研究者がOSXとSafariにも脆弱性が存在することを発見しました。
この脆弱性はブラウザ以外にも影響を及ぼしており、メール、Facetime、iMessage、さらにはアップルの内蔵ソフトウェア・アップデート・システムまでもがいることが、別の研究者によって明らかになりました。
日曜日に、プライバシー研究者のAshkan Soltani氏が、同じTLSとSSL暗号化コードベースを使用しているソフトウェアのセレクションをTwitterに投稿しました。彼はイメージの中でソフトウェアの名前を赤い線でマークしており、その中に多くの内蔵ソフトウェアが含まれていることは明らかです。
ソルタニ氏によると、中間者攻撃によって、ハッカーはユーザーの知らない間に監視ソフトウェアをインストールすることができるとのこと。さらに火に油を注ぐのは、アップルのソフトウェア・アップデート・システムも影響を受けるという事実。つまり、iOSとOSXにソフトウェアのセキュリティ・アップデートをプッシュするアップルのツールもハッキングされる可能性があるということ。
脆弱性の原因は、「優れたプログラミング・アーキテクチャ」の生きた見本です。セキュリティ・コミュニティによって "gotoofail "と名付けられたこの脆弱性は、アップル社のソフトウェア・コードにおける "goto "文の不適切な使用に起因しています。プログラミングを学んだことのある人なら、ほとんど誰もが悪名高い「goto」文は絶対に避けるように言われてきました。
[]
セキュリティ会社CrowdstrikeとGoogleのエンジニアは、すぐにこの脆弱性を分析し、OSXにも存在することを発見。
脆弱性の影響が拡大するにつれ、アップルはパッチを「迅速に」リリースするとしています。しかし、修正が必要な影響を受けるソフトウェアの数を考えると、パッチがすぐにリリースされることはないでしょう。
