「デバイスでAppleの最新バージョンのOSを実行すべき理由」というタイトルのエントリが、リストに追加されるようになりました。iOS、OS X、tvOS、watchOSにStagefrightに似たセキュリティホールが見つかりました。ただし、すべてのOSの最新バージョンではこの欠陥は修正されています。
このバグは、昨年 Android デバイスに影響を与えた Stagefright バグに似ており、攻撃者がユーザーに悪意のある画像ファイルを送信するだけで、デバイスに保存されているパスワードやファイルにアクセスできる可能性があります。
フォーブス:
Cisco Talosのシニアセキュリティ研究者、タイラー・ボハン氏は、画像データの処理に使用されるImageIOに重大なバグを発見しました。攻撃者は、脆弱性を悪用する小さなプログラム(エクスプロイト)を作成し、それをTIFF(タグ付き画像ファイル形式)内のマルチメディアメッセージ(MMS)で送信することができます。受信されると、ハッキングが実行されます。ユーザーは攻撃を検知できず、iPhoneのテキストメッセージツールの通常の許容範囲を超えるコードの書き込みが開始されます。
Safari ユーザーもこの攻撃に対して脆弱です。ユーザーが悪意のあるコードを含む Web サイトにアクセスするだけで、ブラウザー自体がエクスプロイトを解析するため、ユーザー側でサイトを操作する必要はありません。
Appleは、影響を受けるOSの最新バージョンでこの脆弱性を修正しました。これらのOSはすべて月曜日にOS 9.3.3、OS X 10.11.6、tvOS 9.2.2、watchOS 2.2.2にアップデートされており、いずれもこの脆弱性を修正しています。AppleはMavericksとYosemite向けのパッチをまだリリースしていません。
MacWorldが指摘しているように 、 これは現段階では単なる概念実証に過ぎません。この脆弱性を悪用した攻撃は、実環境ではまだ発見されていません。また、シスコは悪意のあるウェブページによる感染を実証しましたが、MMSとiMessageは現時点では潜在的なリスクとしてしか示されていません。シスコは、この脆弱性が実環境で機能することをまだ証明していません。(9to5Mac経由)
9.3.3で修正された43件の脆弱性の詳細は、Appleのアドバイザリをご覧ください。同社はまた、Windows、Safari、tvOS、watchOS、OS X El Capitan上のiTunesに関するアドバイザリも公開しています。
