iOSのゼロデイ脆弱性4件のPoCが公開される、Appleの対応不備を指摘

外部の研究者やユーザーにバグの発見と報告を促す「バグ報奨金プログラム」は脆弱性の発見と修正に大きな効果を上げている。だが必ずしもその取り組みは正しく進んでいるわけではないのかもしれない。

» 2021年09月28日 07時15分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 コンピュータ情報サイトの「Bleeping Computer」は2021年9月24日(現地時間)、セキュリティ研究者が「iOS」に関する4件の脆弱(ぜいじゃく)性情報と概念実証(PoC:Proof of Concept)コードを公開したと報じた。本稿執筆時点でAppleから脆弱性を修正するアップデートは提供されていない。

 Bleeping Computerによれば、これらの脆弱性を発見したセキュリティ研究者は、責任ある情報開示のガイドラインに沿ってAppleとのやりとりや情報開示に取り組んだという。「Appleの対応が不適切だった」ことが、全てのアップデートが提供される前に脆弱性情報と概念実証コードを公開した原因になったとしている。

Appleの対応が十分ではなかったことから脆弱性情報と概念実証コードの公開に踏み切ったと報道する「Bleeping Computer」の投稿(出典:Bleeping Computer)

公開された脆弱性と情報公開までの経緯は?

 今回発見されたiOSに関する4件の脆弱性は次の通りだ。

Copyright © ITmedia, Inc. All Rights Reserved.