「iOS 5.1」では多数の脆弱性修正も、パスコードロック回避の問題など


 Appleが7日に公開したiPhone/iPod touch/iPad向けOSの最新バージョン「iOS 5.1」では、新機能の追加のほか、多数の脆弱性の修正も行われている。

 脆弱性の修正が行われたコンポーネントは、WebKit、Safari、Siri、パスコードロック、CFNetwork、HFS、カーネル、libresolv、VPNで、CVE番号ベースで合計81件に上る。

 81件のうち73件が、WebKitの脆弱性。クロスサイトスクリプティング攻撃を受けたり、Cookieの漏えい、メモリ破壊により予期せずにアプリケーションが終了し任意のコードを実行させられる恐れがあるものだ。Safariの脆弱性は、プライベートブラウジングで使っていても履歴が記録されてしまう場合があったという。

 Siriの脆弱性は、ロック画面の裏でMailのメッセージを開いており、ロック状態でもSiriが有効な設定にある場合、Siriコマンドでそのメッセージを任意の受取人に送信できるというもの。また、パスコードロック画面を回避される問題も修正している。なお、これらを悪用するには、いずれも物理的にデバイスを操作する必要がある。

 このほか、カーネルの脆弱性は、悪意あるプログラムがサンドボックスを回避できてしまうというもの。ファイルシステムのHFSでは、細工を施されたディスクイメージをマウントすると、デバイスをシャットダウンされたり任意のコードを実行される脆弱性を修正している。


関連情報


(永沢 茂)

2012/3/9 14:14