iPhoneの「クッキー盗難」の脆弱性は、修正するのに3年かかった、バグ・ファインダー

火曜日にリリースされたiOS 9.2.1で修正されたバグの1つが、攻撃者がiPhoneとiPadのユーザーを偽装するのを許していた可能性があります。

何が無害な外観のセキュリティパッチを作成するのがより面白くなったかは、Appleがどれくらいの時間をかけて修正したかである。

同社は主にセキュリティ修正を施したiOS 9.2.1とOS X 10.11.3をリリースしている。

水曜日の欠陥の詳細を明らかにしたSkycureによると、2013年6月に報告された時点から約3年を要した。

アップデートが最初にワイヤを越えたときに強調した「キャプティブポータル」のバグは、パッチを当てるのが目立つバグの1つでした。

欠陥がどのように働いたか

影響を受けるiPhoneとiPadのユーザーがキャプティブ対応ネットワークに接続すると、通常、企業、空港、喫茶店などのホットスポットになります。ホットスポットの所有者が標準の暗号化されていない接続で利用規約を示すことができるウィンドウが表示されます。受け入れられると、ユーザはウェブを正常に閲覧することができる。しかし、組み込みブラウザは暗号化されていないCookieストアをSafariと共有します。

簡単に言えば、攻撃者は脆弱なiPhoneやiPadに格納されている暗号化されていないCookieを盗み、偽装攻撃につながる可能性があるということです。

セキュリティ、セント・ジュード・ペースメーカの脆弱性報告書に対する訴訟、セキュリティ、米法執行機関によるオンライン詐欺師の不正行為、セキュリティ、洗練されたMac OS Xバックドアの発見

このバグは、iPhone 4sとiPad 2以降のデバイスに影響を与えている、とAppleの最初の諮問によると、

研究者らは、この修正は「想像以上に複雑である」と述べ、長い待ち時間に一部を導いた。

今日の基準では、企業が長い間ぎっしりと座って蓋を開けないようにして、修正をより速く押し出すことは稀です。これらのいわゆる責任ある開示は、通常、企業に欠陥を修正するための3ヶ月間を与え、その代わりに脆弱性を発見するための恩恵を受けます。

iOS 9.2.1のダウンロードとインストールはこの脆弱性を修正し、デバイスの設定メニューから無線で利用できます。

Appleはすぐにはコメントに答えなかった。

ransomware攻撃のコスト:今年は10億ドル

MedSecはセントジュードペースメーカー脆弱性報告書を提出

米国の法執行機関は、オンラインの詐欺師をバーの後ろに投げつける

洗練されたMac OS Xバックドア

今日の更新