最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アドビ、深刻な脆弱性を修正した「Adobe Flash Player 10.1.82.76」公開(2010/08/16) | メイン | ◆消費者庁、内職商法7社に業務停止命令~仕事あると虚偽説明、高額教材販売(2010/08/16) »

2010/08/16

◆アップル、iPhoneとiPadの「iOS」更新版を公開~危険な脆弱性に対処(2010/08/16)

 アップルは11日(米国時間)、iPhone/iPod touch用の「iOS 4.0.2 Software Update」と、iPad用の「iOS 3.2.2 Software Update for iPad」を公開した。対象は、iPhone 4/3GS/3Gと、iPod touch 第2世代/第3世代および、iPad Wi-Fi/Wi-Fi+3G。

 同社によると、更新版では2つの脆弱性に対処している。このうちFreeTypeの脆弱性は、CFFフォントの処理に問題があり、スタックベースのバッファオーバーフローが発生するというもの。不正なフォントが埋め込まれたPDFファイルを開くと、任意のコードを実行されるおそれがある。IOSurfaceの脆弱性は、IOSurfaceプロパティの処理に問題があり、整数オーバーフローが発生するというもので、悪用により権限の昇格が可能になってしまう。

 現段階でこの脆弱性を悪用する攻撃は確認されていないが、セキュリティベンダー各社は、まもなく攻撃が始まるだろうとして注意を呼びかけている。攻撃は、脆弱性を突くための細工を施した、悪意のあるPDFファイルを開かせるだけで成立する。攻撃の手口としては、ファイルをメールに添付して送りつけたり、ファイルをホームページで公開し、メールやTwitterなどを使ってそうしたページを開くよう誘導するなどが考えられる。

 セキュリティベンダーのラックは、iPhoneがウイルスに感染して操作を乗っ取られると、有料電話にダイヤルされて不当な料金を請求される、プライバシー情報を盗みとられる、サイトで入力した情報を盗みとられるなど、さまざまな被害にあうおそれがあると指摘している。

 iPhone、iPod Touch、iPadのユーザーは、早急にアップデートを実行するようおすすめする。アップデートを行うには、iTunesの最新版が入ったパソコンを使う。初期設定のままでiPhone、iPod Touch、iPadを使用していれば、インターネットに接続したパソコンに機器をつなぐと、アップデートをうながすダイアログが表示される。機器を接続してもダイアログが表示されない場合は、iTunesを起動して[デバイス]欄で目的の機器を選択→[概要]タブをクリック→「アップデートを確認」をクリックする。

 今回の更新で対処された2つの脆弱性は、iPhone4のJailbreak(ジェイルブレイク:脱獄)ツール「JailbreakMe 2.0」において、自身を自動インストールさせる目的で使われたことからその存在が明らかになった。

【解説:Jailbreak、脱獄】
 公認されていないアプリケーションを使う、カスタマイズを行うなどの目的で、メーカーが機器に施しているロックを意図的に外す行為。メーカーが用意している環境を「監獄」(Jail)に例え、それを破る(break)という意味でこのように呼ばれている。ネット上で Jailbreak用のツールが公開されており、「JailbreakMe 2.0」もそのひとつ。iPhone、iPod Touch、iPadでは、Jailbreakを行うとアップルが未承認のアプリも使えるようになるため、誤って悪意のあるアプリケーションを実行してしまうおそれがある。また、端末がアップルのサポート対象外となる。

(2010/08/16 ネットセキュリティニュース)

■関連URL(アップル)
・iOS 4.0.2 Software Update
http://support.apple.com/kb/DL1061
・iOS 3.2.2 Software Update for iPad
http://support.apple.com/kb/DL1060
・About the security content of the iOS 4.0.2 Update for iPhone and iPod touch
http://support.apple.com/kb/HT4291
・About the security content of the iOS 3.2.2 Update for iPad
http://support.apple.com/kb/HT4292
・iTunes:iPhone、iPad、または iPod touch ソフトウェアのバックアップ、アップデート、および復元
http://support.apple.com/kb/HT1414?viewlocale=ja_JP

■セキュリティベンダーの資料
・<注意喚起>アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して(ラック)
http://www.lac.co.jp/info/alert/alert20100812.html
・AppleがJailbreakMe脆弱性に対応(エフセキュアブログ)
http://blog.f-secure.jp/archives/50434643.html
・JailbreakMe脆弱性に関するQ&A(エフセキュアブログ)
http://blog.f-secure.jp/archives/50433691.html
・iPhone4対応「Jailbreak」ツールが公開 iOSの脆弱性を悪用か(トレンドマイクロセキュリティブログ)
http://blog.trendmicro.co.jp/archives/3602

【関連記事:ネットセキュリティニュース】
・iPhoneやiPad、Androidなど携帯型通信端末のセキュリティ~ベンダーが注意(2010/08/10)

投稿情報: 11:47 |

|