AppleがiOS9.2で修正したセキュリティコンテンツ(脆弱性)の詳細をWEBで公開しました。
今回のiOS9.2では30種類に及ぶ脆弱性が修正されているようで、悪意のあるWEBサイトにアクセスするだけで、ユーザーの閲覧履歴が漏洩する問題などが修正されているようです。
修正された脆弱性の一例
修正された脆弱性のうち気になる5つをピックアップしました。
AppSandbox
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意のあるアプリケーションが、アクセスが失効した後も連絡先へのアクセスを維持する場合がある。
説明:サンドボックスによるハードリンクの処理に脆弱性が存在します。この問題は、App のサンドボックスを強化改善することで解決されました。
CVE-ID
CVE-2015-7001:University POLITEHNICA of Bucharest の Razvan Deaconescu 氏および Mihai Bucicoiu 氏、ノースカロライナ州立大学の Luke Deshotels 氏および William Enck 氏、TU Darmstadt の Lucas Vincenzo Davi 氏および Ahmad-Reza Sadeghi 氏
iBooks
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された iBooks ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:iBook の解析処理に、XML 外部エンティティの参照に関する問題が存在します。この問題は、解析を強化することで解決されました。
CVE-ID
CVE-2015-7081:Behrouz Sadeghipour 氏 (@Nahamsec) および Patrik Fehrenbach 氏 (@ITSecurityguard)
写真
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:攻撃者がバックアップシステムを悪用して、ファイルシステムの制限された領域にアクセスできる可能性がある。
説明:モバイルバックアップに、パス検証の脆弱性が存在します。この問題は環境のサニタイズ処理を改善したことで解決されました。
CVE-ID
CVE-2015-7037:PanguTeam
Safari
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。
説明:Web サイトで、別の Web サイトからの URL のコンテンツを表示できる脆弱性があります。この問題は URL 処理を改善することで解決されました。
CVE-ID
CVE-2015-7093:Tencent’s Xuanwu LAB (www.tencent.com) の xisigr 氏
WebKit
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、ユーザの閲覧履歴が漏洩する可能性がある。
説明:コンテンツブロック処理に、入力検証不備の脆弱性が存在します。この問題は、コンテンツの拡張子の解析を強化することで解決されました。
CVE-ID
CVE-2015-7050:Luke Li 氏および Jonathan Metzman 氏
特に怖いのはSafari周り?
今回の修正された脆弱性には、Safariに関するものが幾つも含まれており、いずれも「悪意を持って作成された Web サイトにアクセスすると〜」となっているため、万が一悪意のあるリンク(URL)を踏んでしまうと大きなトラブルにもなりかねません。
iOSのアップデートでは、リリースノートには記載されない脆弱性の修正が数多くされるので、特別な理由がない限りは常に最新のiOSにアップデートするようにした方が安全です。
コメントを投稿する(承認後に反映されます)