iOS 7.0.6 は実はかなり深刻なぜい弱性への対応だった (CVE-2014-1266)

先日行った iOS 7.0.6 アップデート^*1*2がなにげに大穴だったようなのでメモ。概要を読んでみても「SSL接続時の検証に関する問題が修正されます。」だけでは具体的に何のことか分からないので、ちょっと怪しいなとは思っていたのですが思った以上に大問題でした。

インパクトは大きいもののバグの発生メカニズムは驚くほどシンプル。なんというか「中括弧省略しないようにしましょうね」と言いたくなってしまいますね。昔、IE のぜい弱性が１文字のタイプミスから起こったという話がありますが、それに匹敵するようなバグなのではないかとおもいます。

• Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚──原因はタイプミス？ | アプリオ
• Behind iPhone's Critical Security Bug, a Single Bad 'Goto' | Threat Level | Wired.com

ぜい弱性を確かめるための「goto fail; // Apple SSL bug test site」なんていうサイトもあるようなので、iOS や MacOSX を使っていてパッチを適用していない人は速やかにアップデートを心がけたいところです。

• ^*1: About the security content of iOS 7.0.6
• ^*2: National Vulnerability Database (NVD) National Vulnerability Database (CVE-2014-1266)