1: ◆CHURa/Os2M @ちゅら猫ρ ★ 2014/02/24(月) 18:42:56.04 ID:???0
no title

突如として公開されたiPhone等のiOS用アップデート「iOS 7.0.6」は、Appleによるアップデート内容の説明こそ簡潔なものでしたが、実は深刻なセキュリティ上のバグ修復を行っていました。
 
複数の技術系メディアが報じたところによると、iOS 7.0.6では、SSLやTLSによる暗号化「されているはずの」通信内容を盗み見できてしまう非常に危険なバグが、「しれっと」修復された模様です。同様のバグはMac OSにも存在するようです。

■簡潔すぎるリリースに不信を感じた専門家が分析→深刻なバグ修正だった
日本時間の2月22日に突然公開されたiOS 7.0.6は、Appleからの説明では「SSL接続時の検証に関する問題が修正」と、非常に簡潔な内容でした。大きな変化もないことから「ひとまず様子見」とするユーザーも多くいました。
no title

Wiredによると、暗号学の専門家である米ジョンズ・ホプキンス大学のMatthew Green教授はバグの正体を見つけ、
「アップルのバグがわかった。これはひどい。本当にひどい」
とツイートしました。
no title

Googleの暗号の専門家、Adam Langley氏もAppleが公開しているソースコードを分析し、バグの正体はプログラミングを学んだ者なら誰でもすぐに気付くであろう内容と発表しています。

バグの内容は、「goto fail;」が不要に繰り返されているという単純なものですが、この影響は甚大で、セキュリティを確保するためのSSL接続自体が役に立たなくなる、極めて深刻なものです。
no title

このバグを悪用することで、電子メールや各種ログイン情報といった暗号化(されているはずの)通信を盗聴することができてしまいます。
 
ZD Netは、このiOSのバグがいつから存在していたかが不明であり、Mac OSにも同様のバグが存在する模様と伝えています。

■iPhone / iPadユーザーはすぐにアップデートを!
今回のアップデートは、見た目や操作性に影響を与えるものではありません。しかし、iPhoneの通信データを丸ごと盗まれる危険性のある、前代未聞と言えるレベルの緊急性のあるアップデートです。
 
現在、iOS 7.0.6にアップデートされていない方は速やかにアップデートしましょう。iOS 7が提供されていないiPhone 3GS以前のユーザー向けに、iOS 6.1.6も同時に提供されています。
 
アップデートは、iPhoneの「設定」から「一般」>「ソフトウェアアップデート」で可能です。
 
【追記 2014/2/25 0:50】今回のセキュリティバグがあまりに初歩的な事から、米国政府の陰謀なのではないかとの噂まで浮上している模様です。噂の真偽はともかく、アップデートは早急に適用するべきでしょう。
http://news.livedoor.com/article/detail/8566297/

3: 名無しさん@13周年 2014/02/24(月) 18:43:44.53 ID:mQZwBusB0
アホん逝ったあああああああああああああああああ

4: 名無しさん@13周年 2014/02/24(月) 18:44:47.78 ID:Rc30pj6F0
世の中にはプレーンテキストを見て悪用するようなひどい奴はいないから大丈夫

5: 名無しさん@13周年 2014/02/24(月) 18:46:23.25 ID:jsQ1WZWD0
IOS6が良いiPhone5ユーザーはどうすりゃいいの?

85: 名無しさん@13周年 2014/02/24(月) 20:38:14.32 ID:E/LMKfFg0
>>5
危険なのでiOS7にアップデートしてください


…ってあんな糞UIに納得できるかああああああ!

225: 名無しさん@13周年 2014/02/24(月) 22:49:53.45 ID:YwH2MW8F0
>>5
6シリーズもアップデートされてる。

231: 名無しさん@13周年 2014/02/24(月) 22:56:40.70 ID:Xzo4Wh7h0
>>225
6.1.6はiPhone3gs専用
iPhone5向けにはリリースされてないぜ

233: 名無しさん@13周年 2014/02/24(月) 23:01:18.15 ID:m+B0tEdR0
>>231
やっぱ無理よね…
ios7にしたったが、話以上にクソな外見にまず心が折れそう。
設定項目on,offの切り替えの緑が目に痛いって、どっちがonなのよ(´・ω・`)
ジョブズかーむばーっく

7: 名無しさん@13周年 2014/02/24(月) 18:47:58.41 ID:9hQ0cyV00
goto は未だに現役なんだ・・・
ここ2,30年の間プログラム言語はほとんど進歩してない
改良はされてるけどね
でも唯一の進化と呼べるものがgotoを使わないってことね

122: 名無しさん@13周年 2014/02/24(月) 21:25:56.08 ID:g6H/2R/j0
>>7
普通に使うだろ。
カーネルのコードとか、gotoが大量に出てくるよ。

129: 名無しさん@13周年 2014/02/24(月) 21:29:23.22 ID:8VsaHkzI0
>>122
アセンブラをCで書いてるようなものなので、goto文は必須ですわ。
OSなんてそんなもの。

167: 名無しさん@13周年 2014/02/24(月) 21:46:49.74 ID:GEfvhweY0
>>7
何段めのループからの打ちきりかとか何個めのリソース確保失敗かとかで後処理が増減する場合に使うとよろしい。
逆にそういった局面でgoto使わないと変なフラグを沢山作って設計者が把握しきれないステートマシン動作を内包してしまう。

これを実現するコーディング規則としては、
・goto文の下にしかジャンプしてはならない
・goto文の先で再度ジャンプしてはならない
というのが妥当。
大域gotoが使えないC系言語ならこれで十分。
変なフラグで後処理振り分けするのだけはやめとけバグるだけ。

8: 名無しさん@13周年 2014/02/24(月) 18:48:04.21 ID:Gy7L5HktP
クソiOS 7なんか使いたくないからいまだにiOS 6.1.4なんだが…
iPhone 5にもiOS 6.1.6を使わせてくれよ…

12: 名無しさん@13周年 2014/02/24(月) 18:50:04.34 ID:yiZpdG0I0
今までiPhoneはセキュリティが優れてるとか言ってたやつは何だったの?

30: 名無しさん@13周年 2014/02/24(月) 19:03:49.67 ID:5qdMdTvW0
>>12
アプリの制限が厳しいから泥みたいに個人情報から
情報をゴッソリ盗むアプリが作りづらいってことだろ

41: 名無しさん@13周年 2014/02/24(月) 19:44:11.67 ID:yiZpdG0I0
>>30
いくらそういうアプリを作りづらいと言っても
暗号化通信が暗号化されてませんでしたってことならiPhoneの方が非セキュアじゃないのか?

335: 名無しさん@13周年 2014/02/25(火) 01:15:52.07 ID:NLrhRhOgP
>>30
正門に認証システムや警備員がいるのに裏門から勝手に入れるような状態だから
正門からの入りにくさを強調するのは滑稽

336: 名無しさん@13周年 2014/02/25(火) 01:19:01.25 ID:Pub5tp3N0
>>335
というか今回のiOSの件で言えば
正門の警備員がただのカカシだったくらいの話。

こんなバグ出した以上、今後数年は
「iOSってまずクソなんだよね」が前提での評価にならざるをえない。

まぁそれまでAppleが持つかどうかはしらん。
アメリカとかだとまじめにクラスアクションの嵐になるおそれもある。

338: 名無しさん@13周年 2014/02/25(火) 01:21:50.08 ID:OUEjzoed0
>>335
いや警備員が入ってくる奴全員通してる状態だぞw

13: 名無しさん@13周年 2014/02/24(月) 18:50:27.69 ID:LlLd1haDP
というけこれって発売当時からのバグってことかこれ?
だとしたら逆によく今まで気づかなかったてことだよなw

23: 名無しさん@13周年 2014/02/24(月) 18:56:51.50 ID:LEO6oyXf0
>>13
悪いやつは知ってた

危ない危ない気をつけないと、ってやってるうちは健全
あいつらと違って俺のは100%安全だから大丈夫、ってのが一番不味い

27: 名無しさん@13周年 2014/02/24(月) 19:01:46.57 ID:icBukaIc0
> 現在、iOS 7.0.6にアップデートされていない方は速やかにアップデートしましょう。

> iOS 7が提供されていないiPhone 3GS以前のユーザー向けに、iOS 6.1.6も同時に提供されています。


リンク先の記事にはこうあるけど、iOS 6.1もヤバいのかな?

37: 名無しさん@13周年 2014/02/24(月) 19:23:26.45 ID:lg2U+PcF0
>>27
しょうゆーこと(´・ω・`)

36: 名無しさん@13周年 2014/02/24(月) 19:23:04.14 ID:AC68gHGLP
この段階で詳細内容を公開されちゃったらマズーなんじゃないの?
ほぼアップデートが完了した時点ならマシかもしれんが。

64: 名無しさん@13周年 2014/02/24(月) 20:25:48.48 ID:LRA+kIVu0
if hogehoge { goto fail; }
if higehige { goto fail; }
goto fail; ← コイツのおかげで以下の処理が省略
if hagehage { goto fail; }


とかマヌケなバグでSSLが成り立たなくなるとか
すげーよなプログラムすげーよな。

125: 名無しさん@13周年 2014/02/24(月) 21:26:54.62 ID:Xzo4Wh7h0
no title

今回の間抜けなバグはここの一行だと思う

>>64
の部分は該当じゃ無いと思われ

133: 名無しさん@13周年 2014/02/24(月) 21:30:35.98 ID:icBukaIc0
>>125
・・・これ、繰り返して、何か意味があるの?

146: 名無しさん@13周年 2014/02/24(月) 21:35:01.81 ID:g6H/2R/j0
>>133
gotoが絶対に実行されるので、毎回エラー処理に入る。
おそらく、エラー処理に入っているのに、暗号化しないまま処理が継続するのにも問題がある。

70: 名無しさん@13周年 2014/02/24(月) 20:28:42.70 ID:+K7LvMFJ0
4sなんだけど6.0.1からアプデしてない
やっておいたほうがいいもん?
電池が持たなくなったりしたらやだしなぁ

82: 名無しさん@13周年 2014/02/24(月) 20:36:19.08 ID:Y2xPgIdn0
>>70
アップデートしないならパンツはかないで街歩いてるようなもんだ

73: 名無しさん@13周年 2014/02/24(月) 20:30:23.19 ID:G2yRtMTw0
オバマがホワイトハウスではiPhoneを使わせないと言った意味がこれでわかったろう?

128: 名無しさん@13周年 2014/02/24(月) 21:29:15.92 ID:zEdopboM0
この機会にAndroidにする奴はいないのか?

136: 名無しさん@13周年 2014/02/24(月) 21:32:07.53 ID:+b6lrXt60
>>128
カネにもの言わせてAndroidは危険Androidな危険のステマやりまくるから問題ない。

157: 名無しさん@13周年 2014/02/24(月) 21:43:02.72 ID:zEdopboM0
プログラマーのミスはしゃあないだろ。

それより検証ってしてないのか?アップルは。
このソースだとテストコード書くのは無理そうだからあとはわざとエラーだす条件つくって意図した結果になるかを検証するんだけどそれすらしてないのか?準正常系の検証だよな?


元スレ:http://uni.2ch.net/test/read.cgi/newsplus/1393234976/