Баг goto fail прерывает процесс SSL-соединения на этапе проверки хоста.
Уязвимость CVE-2014-1266 позволяет из "привилегированной позиции в сети" перехватывать и модифицировать пакеты в сессиях, защищенных SSL/TLS. То есть речь идет о MITM-атаке с подменой трафика.
По большому счету вся суть проблемы заключается в двух строках "goto fail", идущих в коде подряд (одна из них лишняя).
Дырка присутствует во всех версиях iOS до 7.0.5 и в OS X до 10.9.1. Уязвимость появилась в iOS 6.0, в сентябре 2012 года (как раз когда Apple присоединилась к программе PRISM, которую развивало АНБ), в предыдущей версии 5.1.1 ее не было. Apple проигнорировала Mac OS X 10.6 (Snow Leopard) во время апдейта, при закрытии goto fail бреши.
Новозеландский хакер и ИБ-консультант Альдо Кортези написал концепт MITM-эксплойта, эксплуатирующего goto fail брешь.
