先日リアルタイム深度コントロール機能などを追加したiOS12.1アップデートがリリースされましたが、iOS12.1ではCVE-ID基準で32件もの脆弱性が修正されていることがわかりました。
iOS12.1でロック迂回バグやメールの脆弱性が修正
iOS12.1では、メールアプリで悪意のあるS/MIMEで署名済みのメールを処理するとクラッシュする問題など、CVE-ID基準で32件の脆弱性が修正されています。
特に“ロック画面を迂回できる脆弱性”の修正が多くされており、ロックを解除せずに写真を表示、メモなどを共有できる問題なども修正されています。
| 種類 | セキュリティ |
|---|---|
| 対象 | iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代) |
| 影響 | 悪意を持って作成された S/MIME 署名済みのメッセージを処理すると、サービス運用妨害を受ける可能性がある。 |
| 解説 | ロジックを改良し、検証の脆弱性に対処しました。 |
| CVE-ID | CVE-2018-4400:LAC Co., Ltd. の Yukinobu Nagayasu 氏 |
| 種類 | Safari リーダー |
|---|---|
| 対象 | iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代) |
| 影響 | 悪意を持って作成された Web ページで Safari リーダー機能を有効にすると、ユニバーサルクロスサイトスクリプティング攻撃につながるおそれがある。 |
| 解説 | 検証を強化し、ロジックの脆弱性に対処しました。 |
| CVE-ID | CVE-2018-4374:Ryan Pickren 氏 (ryanpickren.com) |
| 種類 | VoiceOver |
|---|---|
| 対象 | iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代) |
| 影響 | ローカルの攻撃者が、ロック画面から写真を閲覧できる可能性がある。 |
| 解説 | ロック画面を回避し、ロックされたデバイス上の写真に「メッセージで返信」でアクセスできてしまう脆弱性がありました。この問題は、ステート管理を改善することで解決されました。 |
| CVE-ID | CVE-2018-4387:videosdebarraquito 氏 |
| 種類 | WebKit |
|---|---|
| 対象 | iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代) |
| 影響 | 悪意のある Web サイトにアクセスすると、アドレスバーを偽装される可能性がある。 |
| 解説 | ステート管理を改善し、ロジックの問題に対処しました。 |
| CVE-ID | CVE-2018-4385:匿名の研究者 |
| 種類 | メモ |
|---|---|
| 対象 | iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代) |
| 影響 | ローカルの攻撃者が、ロック画面からアイテムを共有できる可能性がある。 |
| 解説 | ロック画面に脆弱性があり、ロックされたデバイスで共有機能にアクセスされてしまうおそれがありました。この問題は、ロックされたデバイスで提示されるオプションを制限することで解決されました。 |
| CVE-ID | CVE-2018-4388:videosdebarraquito 氏 |
最近では「iOS○○にアップデートする必要無し」などと報じているブログも度々見かけますが、iOSアップデートにはセキュリティアップデート(脆弱性の修正)が含まれているので、特別な理由が無い限りは必ずアップデートすべきです。
ただし、iOSアップデートで不具合が生じる場合もあるので、周囲の反応を伺いながらアップデートのタイミングを決めるのは良い選択ですが、理由なくアップデートを控えるのは端末のセキュリティを下げているだけに過ぎません。
Source:iOS 12.1 のセキュリティコンテンツについて
お疲れ様です。
SEです。
アプデ後、AssistiveTouchの調子が悪いです。
反応は鈍いし、AssistiveTouch付近を何かのタイミングでタップしたらAppスイッチャータップしていないのにアプリ切り替わったり。
動きもカクカクする事が増えました。
こんばんはiPhone6s 64GBでiOS12.1にしたらカメラLive Photoをオフにしても次にカメラを立ち上げるとまたLive Photoがオンになっています。
設定のカメラの項目でLive Photoをオフにしていても、設定を保持するにしていてもなります。