bashとSSL v3の脆弱性に対応、Mac OS X

Appleは「About Security Update 2014-005」においてSSL 3.0のセキュリティ脆弱性(CVE-2014-3566)に対応したと伝えた。具体的には、TLS通信に失敗した場合にCBC暗号を使用しないように挙動を変更することでこの問題に対処したとしている。セキュリティアップデートの適用対象はMac OS X Mountain Lion v10.8.5およびMac OS X Mavericks v10.9.5。該当するバージョンを利用している場合はアップデートの適用が推奨される。

これは、先日Googleから発表されたSSL 3.0のセキュリティ脆弱性に対処するもの。SSL 3.0の設計に問題が発見され、これを悪用されると通信内容を推測される危険性がある。主要なブラウザベンダーはそもそもSSL 3.0の使用を廃止する、または将来的に廃止する方向で検討などを進めていた。

加えて、Appleは「Security Update 2014-005」には先日発表されたbashに対するセキュリティパッチ(About OS X bash Update 1.0)を含んでいると説明している。US-CERTも「Apple Releases Security Update 2014-005」において「Security Update 2014-005」をチェックすることを推奨している。