これは怖い……。私はiOS系使っていないのですが、有名な話なんでしょうか。

 ▼Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚

そして今回、クライアント(ユーザ側)とサーバ(ウェブサイト側)の間をSSL接続する際のプログラムに、「BASIC初心者でも一目で分かるようなミス」(Wired)が見つかり、修正されることになったようだ。ミスがあったのは、以下の部分。

goto fail;

Appleが公開しているソースコード

「goto fail;」が2行続けて記述されている箇所に注目してほしい。2行目の「goto fail;」が存在するおかげで、これ以後の検証過程をスキップし、常に検証が成功することになってしまう(詳細に解説している英文記事)。おそらく、プログラマのタイプミス(コピペミス)が原因だろう。むしろ、それ以外に原因が考えづらい。

このバグによって、悪意のあるサイトに接続した場合に、攻撃者はさまざまなデータをキャプチャしたり改ざんしたりすることができてしまう。


うーむ。プログラム、セキュリティともあんま詳しくない私でも、「こらあかんのちゃいますか」と思える話。私より詳しい友人は大騒ぎしてました。ただ、「セキュリティソフトって入れなきゃダメ?」という別の友人は、「ふーん、私は危ないサイトとか見ないから大丈夫かな」みたいな反応でした。いや、それが危ないかもしれないんですぜ。

もっとも、この記事の要約(要は「SSL接続がザルでござる」ってこと)がいまいち伝わりにくいのは確かかもしれません。彼女に説明したのは、悪意をもった人が、SSL証明書を偽造したサイトなどを作成し、見かけ上「信頼できる」サイトにすることでクレジット情報やらパスワードやらの入力を迫ることができた(かつ、SSLで接続できているように見えるので、ユーザーのほうも個人情報を入れてしまう)ということ。

犯罪者と警備員が実はグルだった、あるいは警備員雇ったけど寝てた、みたいな話なので割とシャレになってませんよね~みたいな感じで言ってみました。ただ、これでもなんかイマイチ伝わってなかったっぽいので、誰かうまい伝え方があったら教えて下さい……。

いつ頃からバグが存在したのかは明らかではないが、少なくとも2013年10月以前から存在していたという声もある。Mac OS Xにも同様の脆弱性が存在しているとのことだ。

これが本当なら、発見までに4ヶ月間かかったわけですね。問題の深刻さに対して結構長くかかったなぁという印象。

まあ、何はともあれさっさとアップデートおすすめです。