AirMac 向けファームウェアは、Heartbleed 脆弱性に対応している。
パッチの中には、iOS と OS X の両方に影響するものがある。
その1つは「トリプルハンドシェイク」と呼ばれる攻撃に対応したパッチだ。Apple のセキュリティアドバイザリには次のようにある。
「ネットワーク上で特権的なポジションにある攻撃者が、SSL によって保護されたセッション内で、データを取得したり、オペレーションを改ざんする可能性がある」
iOS と OS X に共通した脆弱性としては、CFNetwork HTTP Protocol 実装に関するものも含まれている。Apple はこの脆弱性について、次のように警告している。
「ネットワーク上で特権的なポジションにある攻撃者が、Web サイト認証情報を取得可能になる」
iOS 7.1.1
iOS 7.1.1 アップデートでは、Apple は Safari Web ブラウザのエンジンである WebKit に関するセキュリティパッチを提供している。そのいくつかは、Apple が4月1日にリリースしたデスクトップ版 Safari 向けパッチと同じ内容のものだ。
今回修正された WebKit 脆弱性の中には、3月に開催されたブラウザハッキングコンテスト Pwn2own で指摘された脆弱性も含まれている。
Heartbleed
Apple はワイヤレスベースステーション「AirMac」向けのパッチもリリースした。
これには、Heartbleed 関連のセキュリティアップデートも含まれている。
Apple のアドバイザリには次のようにある。
「ネットワーク上で特権的なポジションにある攻撃者が、プロセスメモリーから情報を取得する可能性があった。
この問題は、バウンドチェック機能を改善することで対応されている」
Apple は、影響を受けるシステムは 802.11ac を有効にした
「AirMac Express」と、「AirMac Time Capsule」だとしている。