楽しくiPhoneライフ!SBAPP

Apple製品全般の最新情報やアプリのレビューを毎日お届け!

【iPhone】iOS10.3アップデートで70件もの脆弱性が修正される

【iPhone】iOS10.3アップデートで70件もの脆弱性が修正される
スポンサードリンク

先日配信されたiOS10.3アップデートでは、脆弱性ごとに付けられるCVE-ID基準で70件もの脆弱性が修正されていることが、Appleのサポートドキュメント「About the security content of iOS 10.3」により明らかになりました。

サードパーティーアプリが許可なしに電話発信が出来る脆弱性などが修正へ

昨年配信されたiOS10.2のセキュリティコンテンツのアップデートに比べ、今回はCVI-ID基準で約7倍にあたる70件もの脆弱性が修正されています。

SafariやWebKitで無断で任意のコードを実行出来る問題を始めとし、サードパーティーアプリが許可無しに電話を発信する脆弱性や、iTunes Storeで悪意のある攻撃者にネットワークトラフィックが改ざんされる脆弱性などが修正されています。

種類 CoreText
対象 iPhone 5以降、iPad 4世代以降、iPod touch 6世代以降
影響 悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある。
解説 入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID CVE-2017-2435:John Villamil、Doyensec
種類 iTunes Store
対象 iPhone 5以降、iPad 4世代以降、iPod touch 6世代以降
影響 悪意のある権限を持った攻撃者により、iTunesのネットワークトラフィックが改ざんされる可能性がある。
解説 iTunesからWebサービスへリクエストが平文で送信されていましたが、HTTPSを有効にすることによって対処しました。
CVE-ID CVE-2017-2412:Richard Shupak(linkedin.com/in/rshupak)
種類 カーネル
対象 iPhone 5以降、iPad 4世代以降、iPod touch 6世代以降
影響 アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
解説 入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID CVE-2017-2473: Ian Beer of Google Project Zero
種類 電話
対象 iPhone 5以降、iPad 4世代以降、iPod touch 6世代以降
影響 サードパーティのアプリケーションがユーザーの許可無しに電話をかけることができる。
解説 iOSに問題がありプロンプトを表示せずに通話をすることができました。この問題はユーザーに電話の発信を確認するよう促すことで対処しました。
CVE-ID CVE-2017-2484
種類 Safari
対象 iPhone 5以降、iPad 4世代以降、iPod touch 6世代以降
影響 悪意のあるウェブサイトにアクセスすると。アドレスバーが偽装される可能性がある。
解説 リンク先のページが読み込まれるまでテキスト入力を無効にすることで対処しました。
CVE-ID CVE-2017-2376: Michal Zalewski of Google Inc, Yuyang Zhou of Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) of Recruit Technologies Co., Ltd., an anonymous researcher, an anonymous researcher, Chris Hlady of Google Inc

脆弱性の修正は「一般人には何ら関係無い」「そもそも狙われるはずがない」などと軽視される方もいますが、セキュリティコンテンツのアップデートの中には、Safariで悪意のあるウェブページを開いてしまうだけで問題が起きるものもありますし、今回に限ってはサードパーティーアプリが電話を許可無しに発信する問題も修正されています。

万が一のことを考えると、余程な理由が無い限りは最新バージョンのiOSにアップデートすることを強くお勧めします。

※ CVE-IDとは:サポートドキュメントに記載されている”CVE-2017-2397″のような英数字のことで、脆弱性ごとに付けられたユニークな管理番号です。
※ AppleのAbout the security contentページには、マイナーアップデートで修正された脆弱性も随時追記されます。
※ 国外向けに公開されたAbout the security content of iOS 10.3(en-us版)では、記事で紹介したja-jp版には記載されていない脆弱性も記載されているようです。(こちらはCVE-ID基準で88件)

関連記事
【速報】iOS10.3がリリース!アップデート詳細とアップデート方法【速報】iOS10.3がリリース!アップデート詳細とアップデート方法
iOS10.3が正式にリリースされました。

コメント0件

コメントはこちら

*
*
* (公開されません)

Return Top