楽しくiPhoneライフ!SBAPP

Apple製品全般の最新情報やアプリのレビューを毎日お届け!

iOS 8.4.1ではApple Musicの修正以外にも43種の脆弱性が修正されている

cat (1) (1)
スポンサードリンク

本日iOS8.4.1がリリースされたとの記事を公開しましたが、リリースノートには掲載されていないiOS8.4.1で改善したセキュリティの脆弱性のリストをAppleが自社Webサイトにて公開しています。
修正された脆弱性は、主にJailBreak(脱獄)に関する対策が中心となっていますが、中にはSafariで悪意のあるサイトにアクセスした際に、アラートが無限に表示される問題も修正されているようです。
Apple Musicの利用有無問わず安全性を優先するのであれば、iOS8.4.1にアップデートした方が良いかもしれません。

iOS8.4.1で修正された脆弱性

AppleがiOS8.4.1で修正した脆弱性はiOS8.4.1のセキュリティコンテンツについて(英文)といったページで公開されています。
修正された脆弱性の数は43種にもなるようです。

修正された脆弱性(一部)

全ての修正内容を記事内に全て書ききれないので、一部だけ紹介します。

AppleFileConduit

対象端末

iPhone 4S以降、iPod touchの(第5世代)以降、iPad 2以降

影響

悪意を持って作られたafcコマンドが、保護されたファイルシステム部分へのアクセスができる可能性がある。

説明と対処

afcのシンボリックリンクのメカニズムに脆弱性が存在していました。
この問題は、パスチェックを追加することで解決されました。

CVE-ID
CVE-2015-5766 : TaiG Jailbreak Team

Backup

対象端末

iPhone 4S以降、iPod touchの(第5世代)以降、iPad 2以降

影響

悪意のあるアプリケーションが、ディスクの保存領域にシンボリックリンクを作成できる場合がある。

説明と対処

シンボリックリンクのパス検証のロジック内に脆弱性が存在していました。
この問題は、パス検証ロジックのサニタイズを改善することで対処しました。

CVE-ID
CVE-2015-5752 : TaiG Jailbreak Team

Safari

対象端末

iPhone 4S以降、iPod touchの(第5世代)以降、iPad 2以降

影響

悪意のあるWebサイトで、メッセージアラートを無限に表示をすることができた。

説明と対処

悪意のあるWebサイトで、メッセージアラートを無限に表示をすることが可能で、ユーザーにブラウザがロックされたと思わせることができた。
この問題は、JavaScriptアラートの上限回数を設けることで解決しました。

(特定のURLを開くと無限にアラートが表示されて、直して欲しければXXXに電話しろ..的な詐欺サイトやSafariの使用を一時的に不可能にすることを目的とした悪戯サイトで使用されていた手法です)

CVE-ID
CVE-2015-3763

..など。
残り40種の脆弱性について気になる方は、AppleのWebサイトを参考にしてください。

Safariの無限アラート問題

一部悪意のあるサイトをSafariで開くと、無限にアラートが表示されSafariが一時的に利用出来なくなる問題が改善したとのことだったので、実際に確認したところ、何度か問題のダイアログが表示された後に以下のようなダイアログが表示されるようになっていました。

th_IMG_1837 (1)

ダイアログ内の「通知しない」「通知をブロック」をタップすると、Safariの操作が可能になるので、問題の起きているタブを閉じるだけで抜け出すことができるようになっています。

つぶやき

kogoto_prof
リリースノートに書いても良いぐらいの脆弱性の数々です。
JailBreak(脱獄)ユーザーにとっては痛手のアップデートかもしれませんが、一般ユーザーにとっては脆弱性が多く修正された事は良いことです。
Safariの無限アラートの問題は、以前までは「履歴とWebサイトデータを消去」かJavaScriptを一時的に無効にする..といった対処が必要でしたが、今後は誤って踏んでしまっても簡単に無効化できるようになったのは楽かもしれませんね。
(そもそも不審なURLやサイトにはアクセスしてはいけないですけど)
今回のアップデートを受けて、iOSユーザーをターゲットとした悪意のある無限アラートサイトは減っていくかもしれませんね。
更新情報
2016/06/29
記事内に表記の誤りがありましたので修正しました。
お問い合わせにてご指摘くださいましたY.S様ありがとうございました。
コメント0件

コメントはこちら

*
*
* (公開されません)

Return Top