マイキー・キャンベル
· 1分で読めます
Apple の最近の iOS、OS X、tvOS、watchOS のアップデートでは、単純なテキスト メッセージで機密データを密かに収集できる、これまで知られていなかったセキュリティ上の欠陥が修正されています。これは、昨年 Google の Android プラットフォームで発生し、大いに非難された Stagefright の脆弱性と酷似した OS レベルのバグです。
Stagefright と同様に、Cisco Talos エンジニアの Tyler Bohan が発見した iOS の脆弱性は、MMS によって配信されるメディア ファイル、具体的にはバッファ オーバーフローを引き起こすために使用される不正なペイロードを含む特別に細工された Tagged Image File Format (TIFF) ファイルに関係しています。
Bohan氏の説明によると、感染したTIFFファイルが標的のデバイスで開かれると、iMessageや、AppleのImage I/O APIを使用して画像をレンダリングする他のアプリでバッファオーバーフローが発生し、リモートコード実行が可能になります。悪意のあるファイルの命令セットによっては、悪意のあるユーザーがアカウントのログイン情報、パスワード、その他の機密情報にアクセスできるようになる可能性があります。
ボハン氏は、iMessageを含む一部のiOSアプリがデフォルトでTIFF画像を自動的にレンダリングしようとするため、この脆弱性が特に危険であると指摘しています。このような場合、ユーザーの介入なしにペイロードが自動で起動する可能性があります。Safariも脆弱性を抱えていますが、ペイロードを起動するにはユーザーがリンクをクリックするか、悪意のあるWebページを読み込む必要があります。
フォーブスは本日、この脆弱性の発見について報じた。
Appleのウェブサイトによると、修正された脆弱性は画像データハンドラーImageIOに影響するため、iOS、OS X、tvOS、watchOSの古いバージョンを搭載したハードウェアが危険にさらされているとのこと。幸いなことに、Appleは月曜日にiOS 9.3.3、OS X 10.11.6、tvOS 9.2.2、watchOS 2.2.2をリリースしており、いずれもこの脆弱性を修正しています。
