iOSのSSL/TLS通信傍受の脆弱性は「悪夢」、OS Xにも存在 - ITmedia ニュース

2014/02/25 54 users iOS TLS通信傍受 悪夢 Apple SSL

ソースコードを調べた研究者は、この脆弱性がiOSだけでなく、OS X 10.9.1にも存在していることを確認したと伝えた。 AppleのiOSにSSL関連の脆弱性が見つかった問題で、この脆弱性はOS Xにも存在していることが判明した。この問題は第三者が通信に割り込む「中間者攻撃」に利用される恐れがあり、非常に危険度が高いとして、セキュリティ専門家はできるだけ早くアップデートを適用するよう呼びかけて... 続きを読む

解読不可能のはずの「iMessage」が実は解読可能でIDやパスワードも読めることが判明 - GIGAZINE

2013/10/18 188 users NSA GIGAZINE iMessage MITM攻撃 解読

エドワード・スノーデン氏によって暴露されたNSAのスパイ行為事件において、Appleから「通信は暗号化されているのでAppleを含む第三者が通信内容を知ることは不可能」とされていたiMessageやFaceTimeが実はApple自身によって解読可能だったことが判明しました。さらに、第三者が通信を傍受することで、MITM攻撃(中間者攻撃)を可能にする危険も含まれており、Appleが以前から公言して... 続きを読む

RubyのSSLクライアントに脆弱性、中間者攻撃に悪用の恐れ - ITmedia エンタープライズ

2013/06/27 25 users Ruby ITmedia エンタープライズ 脆弱性 リモート

プログラミング言語RubyのSSLクライアントに中間者攻撃の脆弱性が見つかり、この問題を修正する更新版が6月27日にリリースされた。 Rubyのセキュリティ情報によると、脆弱性は、OpenSSLで特定のホスト名が適切に処理されない問題に起因する。 この問題を悪用された場合、リモートの攻撃者が認証局から有効な証明書を入手して、RubyのSSLクライアントとSSLサーバの間に割り込む中間者攻撃を仕掛け... 続きを読む

OpenSSL クライアントにおけるホスト名検証バイパス脆弱性 (CVE-2013-4073)

2013/06/27 35 users CVE 一意 null Ruby サーバー

Ruby の SSL クライアントに信頼された証明書を用いて認証されたサーバーになりすまして 中間者攻撃を可能とする脆弱性が報告されました。 この脆弱性は CVE-2013-4073 として CVE に登録されています。 脆弱性の概要 Rubyの SSL クライアントはホストネームが一意であることをチェックする機構を持っていますが、 その機構は null バイト文字が含まれている証明書のホストネー... 続きを読む