楽しくiPhoneライフ!SBAPP

Apple製品全般の最新情報やアプリのレビューを毎日お届け!

【iOS11.2.5】13件のセキュリティ上の欠陥(脆弱性)が修正 受信するとフリーズするchaiOSなど

ios11-Security_20180125 (1)
スポンサードリンク

先日iOS11.2.5がリリースされましたが、Appleがセキュリティ上の欠陥(脆弱性)の修正を報告する”About the security content of iOS 11.2.5“を公開しています。

今回のアップデートでは、CVI-ID(共通脆弱性識別子CVE)基準で13件の脆弱性が修正されたようです。

13件の修正された脆弱性の中には、悪意のあるURLをメッセージアプリで受信すると、メッセージアプリやiPhoneがフリーズする問題”chaiOS”の修正などが含まれています。

公開された13件のセキュリティアップデート詳細

About the security content of iOS 11.2.5で公開されたセキュリティアップデートは次の通りです。

※ 執筆時点では日本語ページが公開されていないため、意訳した内容を掲載しています。原文は”About the security content of iOS 11.2.5“で確認することができます。

種類 オーディオ
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 悪意を持って作成されたオーディオファイルを処理すると、任意のコードが実行される可能性があります。
解説 入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee and Taekyoung Kwon of the Information Security Lab, Yonsei University
種類 CoreBluetooth
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
解説 入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID CVE-2018-4087: Rani Idan (@raniXCH) of Zimperium zLabs Team
CVE-2018-4095: Rani Idan (@raniXCH) of Zimperium zLabs Team
種類 カーネル
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 アプリケーションが、制限されたメモリを読み取れる可能性がある。
解説 メモリ処理を強化し、メモリ初期化の脆弱性に対処しました。
CVE-ID CVE-2018-4090: Jann Horn of Google Project Zero
種類 カーネル
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 悪意のあるアプリケーションが、制限されたメモリを読み取れる可能性がある。
解説 ロック処理を強化し、競合状態に対処しました。
CVE-ID CVE-2018-4092: an anonymous researcher
種類 カーネル
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
解説 入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID CVE-2018-4082: Russ Cox of Google
種類 カーネル
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 アプリケーションが、制限されたメモリを読み取れる可能性がある。
解説 入力のサニタイズ処理を改善することで、複数の検証不備の脆弱性に対処しました。
CVE-ID CVE-2018-4093: Jann Horn of Google Project Zero
種類 LinkPresentation
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 悪意を持って作られたテキストメッセージを処理すると、アプリケーションのサービス拒否につながる可能性がある。
解説 入力検証を強化し、リソースが枯渇する脆弱性に対処しました。
CVE-ID CVE-2018-4100: Abraham Masri (@cheesecakeufo)
種類 QuartzCore
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される可能性がある。
解説 Webコンテンツの処理にメモリ破損の脆弱性がありました。この脆弱性は入力検証の改善により対処しました。
CVE-ID CVE-2018-4085: Ret2 Systems Inc. working with Trend Micro’s Zero Day Initiative
種類 セキュリティ
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 証明書に名前制約が正しく適用されていない可能性がある。
解説 名前制約の処理に証明書評価の問題が存在しました。 この問題は証明書の信頼性評価の改善により対処しました。
CVE-ID CVE-2018-4086: Ian Haken of Netflix
種類 WebKit
対象 iPhone 5以降、iPad Air以降、iPod touch 6世代
影響 悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される可能性がある。
解説 メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。
CVE-ID CVE-2018-4088: Jeonghoon Shin of Theori
CVE-2018-4089: Ivan Fratric of Google Project Zero
CVE-2018-4096: found by OSS-Fuzz

関連記事

【iOS11.2.5】アップデートの変更内容と不具合情報まとめ【iOS11.2.5】アップデートの変更内容と不具合情報まとめ

【iOS11.2.5】iPhone XでTaptic Engineからクリック音が鳴る不具合が改善【iOS11.2.5】iPhone XでTaptic Engineからクリック音が鳴る不具合が改善

コメント0件

コメントはこちら

*
*
* (公開されません)

Return Top