Apple、OS X向けのセキュリティアップデート公開、SSL 3.0の脆弱性に対処

MavericksおよびMountain Lion向けの「セキュリティアップデート 2014-005」では「POODLE」と呼ばれるSSL 3.0の脆弱性を解決した。

[ITmedia]

　Appleは米国時間の10月16日、OS X Mavericks（v10.9.5）およびMountain Lion（v10.8.5）向けの「セキュリティアップデート2014-005」を公開した。SSL 3.0の脆弱性（POODLE）を解決した。

　SSL 3.0に関する脆弱性はGoogleが14日に明らかにしたもの。WebブラウザとWebサーバとのTLS 1.0以降による暗号化通信の接続に失敗した場合に、15年近く前から使われてきた古いプロトコルのSSL 3.0などに切り替えて再接続を試みる点を攻撃者が悪用することで、通信の内容などを盗み見されてしまう恐れがある。

　またセキュリティアップデート2014-005には、Appleが9月29日にリリースした「OS X bash Update 1.0」の内容が含まれるという。

　UNIX系OSの「bash」シェルに存在するOSコマンドインジェクションの脆弱性問題では関連する6件の脆弱性（CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278）が報告されている。

　OS X bash Update 1.0ではこのうち2件（CVE-2014-6271およびCVE-2014-7169）の脆弱性に関する説明にとどまっていた。未確認だが、セキュリティアップデート 2014-005ではこの2件や残る4件の脆弱性などについて、何らかの追加対応が行われた可能性もある。