マイク・ピーターソン
· 1分で読めます
クレジット: アンドリュー・オハラ、AppleInsider
AppleはiOS 15.0.2でアプリが機密情報にアクセスできるようになる可能性のあるゼロデイ脆弱性をひっそりと修正したが、この欠陥の発見者を公表していないと報じられている。
この脆弱性は、iOS 15.0.2のリリース7か月前にソフトウェア開発者のデニス・トカレフ氏によって発見されました。9月にトカレフ氏は、Appleのバグ報奨金プログラムへの参加について詳細を記したブログ記事を投稿しており、その中には別の脆弱性の修正でクレジットされなかった事実も含まれていました。
Bleeping Computerによると、トカレフ氏はiOS 15.0.2のリリース後、Appleに連絡を取り、クレジット表記の不足について問い合わせた。Appleは、メールのやり取りの内容を秘密にするよう求めた。
この脆弱性は、App Storeからユーザーがインストールしたアプリが、通常はサンドボックスや透明性、同意、制御の保護によって保護されている機密データに不正アクセスできる可能性のあるバグでした。Appleは、これらの脆弱性には最大10万ドルの報奨金がかけられていると述べています。
トカレフ氏はAppleに合計4件の脆弱性を報告しました。Appleはそのうち1件をiOS 14.7で、もう1件をiOS 15.0.2で修正しました。ゼロデイ脆弱性のうち2件は、最新バージョンのiOS 15でも依然として存在しています。Appleは9月に「現在も調査中」と発表していました。
セキュリティ研究者がAppleのバグ報奨金プログラムから無視されたと訴えたのは今回が初めてではない。9月には、セキュリティ研究者が無視されたり、クレジットされなかったり、報酬を受け取れなかったりしたという苦情が報告された。
一方、Appleはバグ報奨金プログラムを「大成功」と評し、発生したミスを迅速に修正するよう努めていると述べた。
