ニュース
Apple、プッシュ通知サービスでのSSL 3.0サポートを10月29日に終了 POODLE対策で
AppleがSSL 3.0の脆弱性「POODLE」対策の一環として、「Apple Push Notification」でのSSL 3.0のサポートを10月29日に終了する。開発者はそれまでにTLSに切り替える必要がある。
米Appleは10月22日(現地時間)、「Apple Push Notification」でのSSL 3.0のサポートを10月29日に終了すると発表し、開発者に対処を呼び掛けた。
Apple Push Notificationは、アプリ提供者のサーバで発生した通知をIP接続経由でユーザーの端末に配信するサービス。
同サービスをSSL 3.0のみで利用している開発者は、終了日までにTLSに切り替えるよう勧めている。SSL 3.0とTLSの双方をサポートしている開発者は特に対処する必要はない。
Appleは既にProvider CommunicationでSSL 3.0のサポートを終了しているので、開発者はこちらで対応状況を確認できる。
これは、14日に米Googleが発見・報告した脆弱性「POODLE」を回避するための対策。SSL 3.0のCBCブロック暗号アルゴリズムの弱点を利用すると、暗号化されたトラフィックの一部を解読できてしまうという脆弱性だ。
Appleは20日に公開した「iOS 8.1」で、POODLEの脆弱性に対処している。
関連記事
- AppleのiOS 8.1、SSL 3.0の脆弱性などを修正
「iOS 8.1」では先に発覚したSSL 3.0の脆弱性(POODLE)を含め、5件の脆弱性を修正した。 - SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
Googleが発見したSSL 3.0の脆弱性「POODLE」は、悪用するとパスワードやクッキーにアクセスできてしまう。SSL 3.0は15年前のバージョンではあるが、まだ依存しているWebサイトも多数あり、多くのWebブラウザがサポートしている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.