AppleInsiderスタッフ
· 1分で読めます
この問題は、セキュリティ企業 Major Security によって最初に発見されたもので、iOS 5.1 の Apple モバイル Safari アプリが JavaScript の window.open() メソッドを使用する際に URL を処理する方法にエラーがあり、悪意のあるサイトがこれを悪用してカスタム URL を表示する可能性があるという。
「これを悪用されると、ユーザーを騙して機密情報を悪意のあるウェブサイトに提供させてしまう可能性があります」とメジャー セキュリティは説明しています。「アドレス バーに表示される情報は特定の方法で作成されるため、ユーザーは表示されたウェブサイトとは別のウェブサイトにアクセスしていると信じてしまう可能性があります。」
この脆弱性は、iOS 5.1を搭載したiPhone 4、iPhone 4S、iPad 2、第3世代iPadでテストされました。Appleの最新モバイルOSを搭載したすべてのiDeviceがこの脆弱性の影響を受けるようです。ユーザーは、モバイルデバイスからこのウェブサイトにアクセスすることで、この脆弱性を自らテストできます。ユーザーがテストページの「デモ」ボタンをクリックすると、Safariが新しいウィンドウを開き、アドレスバーに「http://www.apple.com」と表示されますが、このURLは実際にはMajor Securityのサーバーでホストされているiframeを通じて表示されます。
URL を偽装し、悪意のあるサイトに説得力のある画像を追加することで、ユーザーは簡単に騙されて、Apple のオンライン ストアなどの正規の Web サイトにアクセスしていると思い込むことができます。
大手セキュリティ サーバー経由の「Apple」iPad ウェブページ (左) と Apple 公式サイト (右) の比較。
この脆弱性は当初iOS 5.0で発見され、3月初旬にiOS 5.1でも再現されました。Appleは3月1日にこの問題を認識し、3月20日にこの問題に関するアドバイザリを公開しました。パッチはまだリリースされていませんが、近いうちにリリースされる予定です。
![AppleはWalmartに「毎日低コスト」のITコスト削減を提案。IBMは10万台のMac導入を予測[u]](https://image.tslro.com/imggkole/90/a4/23406-29521-18689-18001-screen_shot_2016-10-19_at_103713_am-l-xl.webp)
