Appleが史上最悪のSSL暗号脆弱性、ネット接続が危険
■ このスレッドは過去ログ倉庫に格納されています
http://japanese.engadget.com/2014/02/22/ios-7-0-6-ssl-os-x/ アップルが iOS のアップデート 7.0.6 をリリースしました。 中身は「SSL接続時の検証に関する問題」の修正。iPhone 4以降, iPad 2以降, iPod touch (第5世代)それぞれに適用されます。 また iOS 7に対応しない iPhone 3GS, iPod touch (第4世代) には、 同じバグ修正内容の iOS 6.1.6 がリリースされています。 また複数のセキュリティ研究者によると、このSSL接続時のバグは 最新版 OS X 10.9.1 にも存在しており、アップルがパッチを提供するまでは、 中間者攻撃を避けるため信頼できないネットワークには接続しないことが望ましいとされています。 「OS X」にもSSLの脆弱性が存在! Appleも確認済みで近日中に修正へ!! http://apple-iphoner.com/mac/mac-osx/4469.html SSL接続時の検証に関する問題は「iOS」でも存在し、2014年2月22日に同問題を 修正した「iOS 7.0.6」と「iOS 6.1.6」がリリースされたばかりです。 そして、キュリティ研究者により同じ問題が「OS X 10.9.1」でも確認されています。 途中でどのような経路をたどるか分からないインターネットでは、目的の接続先と 手元のエンドツーエンドで経路の信頼性を確保する「SSL」があって初めて多くのサービスが安全に利用できるようになっています。 この部分にバグがあると、買い物や個人情報をやりとりする際、 上のように鍵があり相手の身元が示されていても信用できなくなってしまいます。 >>5 要は、Safariを使わなきゃいいんだろってことだよね。 https://gotofail.com/ にアクセスすると脆弱化どうかが分かる。 コードとしては http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c の631行目 if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail; goto fail; if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0) goto fail; >>14 お前がAppStoreだと思ってクレジットカード番号を送信している先はどっかの雑居ビルの一角かもしれない お前がOSXのアップデータだと思ってダウンロードしているそれはトロイの木馬かもしれない >>14 お前が美女のマンコだと思って挿入した先は汚いおっさんのアナルかも知れない >>10 1行で済むifだろうがちゃんと複文で書けよという教訓だな 10.9とiOS6以降でSSL使うのにSecurity.frameworkに依存してるアプリが問題、ということかな おいらのlionちゃんは大丈夫ってこと? (´・ω・`) iOS 7.0.6にしたら立体感がなくなってノッペリとしたデザインになった。 LINEとか最悪。 これがフラットデザインなのかなぁ。 次期アップデートでは元に戻して欲しい。(´・ω・`) iOS7にアプデしたくないが今回ばっかりはしょうがないか そらそうよ 外部からソースコード実行したい放題だもんな winでもここまで酷いのはなかった >>23 早まるな。iOS 7にアップグレードしたら Macとの統一感がウリだったUIが完全に失われて おもちゃみたいな目潰しケータイに成り果てるぞ。 iOS 6を脱獄してパッチあてるのが最善やろ。 iOS 6のUIもOS Xと統一感あったとは思えんな 怖いのは公衆無線LANで、 本物のSSIDに偽装したニセAPが設置されてるときだよ。 SSIDが同じだから自動接続しちゃうし、 ニセAPはすべてのサイトのサーバ証明書についてMITMできるニセ証明書を返す。 その先の通信は全部丸見え。 自動で走る各種チェックやメール同期とかもあるしぶっちゃけガード不能。 ニセAPは、乞食にノーパソ持たせてマックやスタバで一日座らせとく、 みたいなのが横行してるので 公衆無線LANを使ってた人全員が危険。 >>6 Other applications on your system such as mail, chat, financial, social networking and backup apps are also at risk - simply switching browsers will not fully protect you. ios 5だと問題ない? iPhone 4はiOS5で余生を遅らせたいわ スタバでどやってる馬鹿が物故抜かれるのか メシウマ これスノレパもあかんのか いままでなんで問題にならなかったんだろう インデントが揃ってないから、diffのマージミス的なものかな 早くアップデートリリースして欲しいな 今はFirefoxで凌いでるけど、 Safariに慣れちゃってるからどうも使い難い 疑問なんだが、今回のこれって OSの問題としながらブラウザ変えればOKってのはどういうわけだ? 独自のコード使ってるブラウザなら回避できるってことだろ うちのChromeはWarning出たよ。 バックアップソフトや国産ワープロソフト( ´Д⊂ヽ、10.9で動作しないソフトが結構あるから 10.6と10.8で踏ん張ってきたけどいよいよ強制卒業を迫られることになったか。 まともに縦書き段組み長文管理(アンカージャンプ)もさくっとこなせる10.9対応ソフトって いまInDesignしかないんだよなあ。 >>42 こっちはFirefoxの最新版でWarning出るんだよなぁ Chromeはいれてないからまだ試してないけど >>43 よく読んで。 10.9にはバグがあるけど、それ以前のやつにバグがあるとは書いてない。 もっとも、書いてないだけでバグがあるのかも知れんが… (´・ω・`) Cydia経由で見知らぬレポジにSSLパッチきたよ HTTP://TAISY0.COM この手の知識全く無いから大丈夫と言われても絶対開けんわ… >>47 >>10 の一番上のアドレスにアクセスして出ない? >>44 で出るのなら、>>40 で使ってるバージョンはいくつなんだろう Warningの内容読めよ。 > We have examined your OS and browser version information > and have determined that your browser shouldn't be vulnerable, > however other applications on your system such as mail, chat, financial, > social networking and backup apps are at risk. > > Please re-run this test from Safari to confirm! >>54 > Please re-run this test from Safari to confirm! なるほどorz SSL/TLS使ってるのはブラウザだけじゃないから事態は恐ろしく深刻 >>57 おまえんちのホームネットワークとお前の契約してるISPが信用できないほどブラックなら、そうした方がいいよ。 スレ読まないヤツ大杉 ・件の脆弱性があるのはiOS 6と7、OS X 10.9。それ以前は無さげ。 ・通信してる各種アプリ全般に関わる所の問題だからブラウザ変えても万全じゃねーど。 >>60 その「無さげ」ってところが気になる スノレパやライオンがOKということなら自分は安心なんだけど Appleはその辺はっきりして欲しい そもそも10.6や10.7には10.9に無い脆弱性があるだろ OSのアップデートってのは機能の追加とかだけじゃないんだよ >>62 そうなんだろうけど、今でもスノレパやライオンにもセキュリティアップデートが来るじゃない ということは一応Appleが認識している問題点はクリアされていて、 サポートされているということじゃない? >>64 >なんでMacは放置なんだAppleよ… 10.9.2 のリリースと一緒にしようかと思案中かな。 >>40 >今はFirefoxで凌いでるけど、 Firefoxで凌ぐって、 Safariってそんなに良いの? 10.9.2入れて、gotofail.comで確認した。 しかしリリース情報にその辺書いといてほしいよね。 About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001 http://support.apple.com/kb/HT6150 ■Data Security Available for: OS X Mavericks 10.9 and 10.9.1 Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps. CVE-ID CVE-2014-1266 てことで10.9.2で治ってる模様 >>68 そらさすがに早急にPatchださないとアポーの信頼ガタ落ちだからなぁ こんな酷いセキュリティホール出した時点で普通は信頼ガタ落ちだけどね 法人向けやってなくてよかったね しばらくは、iOSは一番危険だから買わない方がいいって考え方をするしかないね。 だからってAndroidが安全か?と言われるとそれも違うし やっぱガラケー最強か? >>75 比較論でしかないが、一番危険なiOSは論外。 スノレパのsafariでチェックサイトにアクセスしたらsafeって出てた これってさ、公共無線も危ないって話だけど、 モバイルルータ(docomoとかWiMaxとかEMOBILEとか)のたぐいも危なかったわけ? ipadとかモバイルルータでつないでる人山ほどいると思うんだけど 高い金払って1Passwordとか使っててもだだ漏れだったわけ? >>78 ニセAPは、本物APのSSIDと同じSSIDを使うことで 被害者が接続してくるのを待ち受ける。 で、SSID自体はWIFI-APが周囲の誰でも傍受できるよう公開情報として無線電波上で発信してるので、 別に公衆無線LANのSSID以外でも、悪意あるものは近くのSSIDを全部拾えるし、 拾ったSSIDにその場でなりすますとかもできる。 これは悪意あるものからしても手間とかかかるが、 企業のオフィス内部の本物APのSSIDになりすましたニセAPを仕掛ける場合などには実際に使われる手口。 そういう能動的なニセAPに運悪く引っかかった個人の被害者は、 モバイルルーター的なものを使ってても 今回のiOSの超絶脆弱性と合わせ技で即死ダメージを受けてる恐れはある。 >>22 セキュリティ気にしてOSのバージョンアップをしながら、マルウェアのLINE使うのか SSIDはステルスにして、さらにGoogleに勝手に拾われないため末尾に_nomapを付けてるわ >>82 SSIDのステルスは、AP側が叫ぶ内容を伏せるには意味があるけど、 接続クライアント側がAPに向かって送信する通信には載ってくるし、 この部分はWPAなどの無線区間暗号化が有効でも暗号化されない場所なので 結局悪意あるものからすると クライアント側の通信内容の方を拾うことで 近場のAPのSSIDを知ることができる。 ヤバイよ!ヤバイよ!Appleヤバイよ!!、 なんかよくわかんないけど、そーとーヤバイよ! 見損なったよApple クソみたいな回数 開発者向けにパッチリリースして テストさせてるのはなんのためだったのか >>86 開発者が自分のアプリをテストするためだよ。 10.9.2アプデ来てたけど入れたらSafariで>>10 やってもSafe表示になったで 取り急ぎ 10.7.5で試してみたらchrome firefox safari いずれもsafe だった これで安心していいのかな? iPod 5thの6.1.xを6.1.6にすることはできないのかな、これ。 7.0.6にアップデートするしかないと悲しい。 iPhoneとiPadを7にアップデートするハメになっちまったな こんなクソみたいなアイコンのOSになんかしたくなかったんだが Appleのアホ氏ねや 【アップル】リリースされたばかりの「iOS7.0.6」にバッテリー消費が速くなる問題発覚 / 一部ユーザーの間で不具合発生中 http://rocketnews24.com/2014/02/27/417856/ なんかこんな記事あった OS X、iOSはセキュリティバッチリ(キリッ)とか情強が言ってたのに! マスコミでさえ言ってたのに! 嘘だったのかッ! iPadアプデしようとしても空き容量が4GB必要ですと出るんだけど 16GBでそんなにあけられるわけないだろ >>98 >16GBでそんなにあけられるわけないだろ だから128GBを買えと・・ >>98 バックアップとって出荷状態に復元してアップデートすればいいんじゃね? >>98 iTunesでアップデートすればいい 俺も空き容量足りなくてiTunesでアップデートした Windowsタブは欲しい androidはスマホでいい appleはいらない Windowsタブは怖い androidはスマホはでかい appleがよさそう Windowsタブは欲しい androidはスマホでいい appleはいらない Appleのgoto failバグがソースコードに追加されたのは不自然。 https://gist.github.com/hongrich/9176925 goto failが追加されたのは、NSA(アメリカ国家安全保障局)の PRISMプログラム(例の通信を監視するやつ)の監視対象に Appleが追加された時期と同じで、apple内部に内通者がいたのかという説。 http://daringfireball.net/2014/02/apple_prism >>106 充分ありうるな。 911のテロ以来、米はテロ防止を目的に監視を強めている。 監視していたことを英雄スノーデンさんが明らかにしてくれたわけだが… 関わっていたのはApple、Google、Facebook、Twitter、もろもろの大企業。 日本も含めて総監視社会だったわけだ。プライバシーの侵害。 ふつう、余計な一文を間違って追加するなど、三流のデベロッパですらあり得ない。 一流が集うAppleの開発者が間違ってコードを書いたとは考えにくい。 プログラムの自動構文チェック機能だってあるのに…。 監視することを計算に入れて、「わざと」やった可能性が高いと思う。 >>109 バレたからだろ。 もし誰にもバレてなかったら、 そのまま押し通してただろう。 解読不可能のはずの「iMessage」が実は解読可能でIDやパスワードも読めることが判明 - GIGAZINE http://gigazine.net/news/20131018-apple-can-read-imessage/ この時点から、かなり怪しかったが原因特定に4ヶ月かかったのか 米国系の大手IT企業が全部やってたとすると… 非常に怖いんですけど 肝心のMicrosoft様はどうなんだろう >>112 >肝心のMicrosoft様はどうなんだろう ライセンス認証の時にNSAで誰が世界のどこでどのマシンで集計中 くらいは想定内。 電力会社とか核融合の研究してるところとか、六ヶ所村で使用済み核燃料ためて、 核融合の研究施設誘致して何するつもりか株主総会やらなんやらで調べて欲しいよねー >>111 gigazineの記事にプライベートインターネットのことが載ってるけど インフラから作るのは面倒でも仮想ネットワークを既存のインターネット上に作るのはとても簡単だよね 安全性は高まるしやりたい放題だし良いことずくめ そんなものは視点を変えれば、どうにでも変化する概念ですので、引退テンプレートを掲げながら、 各所にご意見番のように出没するために、無用な揉め事を生んだ利用者も誰かから見れば 「疲弊ユーザー」となるような恣意的な観念です。--みしまるもも(会話) 2014年1月7日 (火) 07:19 (UTC ) さあ、さあ、さあさあさあさあ!!!!!!!!!!! >>99 汚いおっさんのアナルでもガバガバなるらしいで >>108 ないない バックドアならまだしも全ての中間者攻撃に対して寛容である必要ないじゃない 畢竟、Appleは無能それを信奉してるお前等は無知ってだけ >>108 検証可能なオープンソースで、あの間抜けコードが? 陰謀? プログラミングやる人なら「あー、やっちゃったかw」みたいなコードが陰謀? ァ _, ,_ ァ,、 ,、'` ( ゚∀゚) ,、'` 馬鹿じゃねえのお前w '` ( ⊃⊂) '` Appleが愚かな間違いを犯すはずがない、 ってのが発想の前提にあるんだろうな。 陰謀論に共通してるよな。 この手の倒錯した論理。 >>120 馬鹿発見。 お前プログラミングやったことないだろう。 >>121 お前アホか? 英雄スノーデンさんを知らないんだろう。 >>122 ♪ n__n _ n__n ♪ ___/ ゚u゚ミ‘/⌒i。ミ゚u゚ ヽ___ `7 /`' :>::; ノ: lノ 、-' . Tn )♪:l| ::|:|: ♪>- ) . ~`' :/ :O: `^(7 >>124 プログラミング経験はあるのかと聞いている。 あったとしても低学歴なんだろう。 >>125 プログラミング経験もなく低学歴なことが丸分かりなボクちゃんどうしたの? >>126 俺は高学歴だが。 ちなみにアプリ開発者でもある。 >>127 それでまさかあんな幼稚な陰謀論? 出直しておいで中卒ちゃん >>129 残念だったな。 俺は中卒ではない。 高学歴だ。 >>133 実は>>120 =>>124 の俺は、そこから書き込んでないという衝撃の事実。 どーでもいいけど、実社会でのプログラマーは底辺だよ。 >>135 2ヶ月で700万円を稼いだスマホアプリ「マッチに火をつけろ」の広告売上から分かった、カジュアルゲームで収益を上げる3つのポイント http://www.growingapp.jp/blog/2012/11/2 繝カ譛医〒700荳?蜀?繧堤ィシ縺?縺iphone繧「繝励Μ縲後?槭ャ繝√↓轣ォ繧偵▽縺?/ 2ヶ月で700万円、だよ。実社会では頂点に近い。 >>135 お前の仕事のほうが底辺だよw 有名なプログラマとして ビル・ゲイツやリーナス・トーバルズの名前がある。 ビル・ゲイツって自分で作ったのってBASICだけだろ。 あとは全部買い物。 今のWindowsの礎となったMS-DOSだって単に転売しただけだしな。 あいつをプログラマーっていうのはかなり苦しい。 単なるビジネスマンだな。 今時のスタープログラマーっていうと、ザッカーバーグくらいだろ。 >>139 おいおい。プログラマの仕事ってのは だいたい一人でやってるわけじゃない。 多くのプログラマは、すでにある何かを 修正するのが仕事。 だからビルゲイツはプログラマでいいんだよ。 な?結局なにもなかったろ 過度に騒いでた奴は視野が狭い >>142 そりゃどこから漏れたかすらトレース難しいし、appleはだんまり決め込んでるからな >>84 公共の場でモバイルwifi使うときはUSB接続なら大丈夫ってことでおk? それよりステルスにしたら_nomapは無効になるだろ なんで誰も教えてやらないんだ これ公開ネットワーク以外でも危ないのか?自宅wifiでも抜かれるとかドザがほざいてたんだが iPad用に6.1.6出してくんないかな iOS7にするのやだ HeartbleedはAppleのおかげで明らかになった(キリッ [CNET Japan] 「Heartbleed」脆弱性、アップルのOSやウェブサイトは安全--米CNETが回答入手 http://www.asahi.com/tech_science/cnet/CCNET35046433.html goto;が霞むほどの事件だなぁ WireLurker(周到に準備する悪人) 「インストール済みのiOSアプリケーションに感染」 「ジェイルブレイクしていないiOSデバイスに、企業内アプリ配信機能により サードパーティー製のアプリケーションをインストール可能」「OS X のUSB経由でiOSデバイスを攻撃」 「バイナリファイルの置換で悪意あるiOSアプリケーションを自動生成する」 パロアルト、AppleのiOSとOS Xを狙う前例のないマルウェアを発見 | マイナビニュース http://news.mynavi.jp/news/2014/11/07/196/ 2014/11/07 もう最近ヤバくてネットショッピングとか怖くてできねえな OSもブラウザも当てにならん >>165 Wi-Fi接続や怪しいアプリやメールやら開かなきゃりまずウィルス感染しないから、ガラケーって問題無くね iモードアプリとかドコモは審査してるんだっけ? してないなら危ないんじゃない? ちょっと詳しい方にお伺いしたいんですが、iOS6でアプリを購入する場合、 登録したアップルIDのクレカ情報も丸裸になってしまうんですか? Apple「作業風景撮影させろ」 日本の下請け「はい…」 → Apple「技術盗めたからお前んとこ切るわwww」 http://engawa.2ch.net/test/read.cgi/poverty/1377868549/ OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告 研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。 http://www.itmedia.co.jp/news/articles/1506/18/news053.html もうインターネットって信用できない CDROMでコンテンツばらまいてた時代に戻してくれ 米Appleのソフトウェア開発ツールを改ざんした「XcodeGhost」が中国で出回り、マルウェアに感染したiOSアプリがApp Storeで配信されていたことが分かった。 http://www.itmedia.co.jp/enterprise/articles/1509/24/news060.html ☆ 日本の核武装は早急に必須です。☆ 総務省の、『憲法改正国民投票法』、でググってみてください。 日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である 改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。 ジョブズは顧客個人情報を米政府に売り渡した人物 その後の評伝や評価はそれをカモフラージュするために行われた 「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性 https://japan.cnet.com/article/35111084/ 代表者がホモでまともなOSなんか作れる筈がない 感染予防すら放り出して共食いを繰り返すゾンビ集団みたいなもんだろ ハードゲイよりプレゼンでウケ狙いばっかやってるフェデリギの問題だと思う フォーストールがいる頃はガッチガチに緊張してたのに最近調子乗りすぎ ウケのガチムチがフェラチオで怒張? まあなんてイヤらしい! しょせんナンチャッテWindows 偽物なんて、こんなもんだ ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる