iPhoneのブラウザにサービス障害の脆弱性

[ITmedia]

　米AppleのiPhoneに搭載されているSafariブラウザに、サービス妨害（DoS）の脆弱性が見つかった。コンセプト実証サイトも存在するという。セキュリティ企業の米McAfeeが2月20日のブログで伝えた。

　この問題を見つけた研究者は、iPhoneファームウェア最新版の1.1.3で、ファイルシステムのロックを解除する方法を探していたという。ロックを解除すれば、オリジナルの着信音やサードパーティーのアプリケーションをインストールすることが可能になる。

実証ページで「Go!」を押すと一瞬にして使用不能になる（McAfeeブログから）

　コンセプト実証ページでは、画面上の「Go!」というボタンをクリックすると、DoSエクスプロイトコードが実行される。画面に警告メッセージが表示され、タッチスクリーンもホームボタンも機能しなくなり、1分後にiPhoneが再起動される。

　今回のエクスプロイトではiPhoneが一時的に使えなくなるだけで、個人情報が盗まれたりiPhoneが損傷するといった実害を伴う悪用コードは開発されていない。しかし、もっと悪質なサイトが作られた場合、ユーザーの許可なく悪質コードが実行される可能性もあるという。

　DoSの脆弱性は、Safariの設定でJavaScriptを無効にすれば回避できるとMcAfeeは解説している。