AppleのiPhoneに、不正なWebサイトに悪用されると、システムを完全に制御されたり、クロスドメインスクリプティング攻撃を受けたりする脆弱性が複数見つかったとして、仏FrSIRTが8月1日に情報を公開した。Appleからこれらの問題を修正したパッチが公開されている。
FrSIRTのアドバイザリーによると、今回5つの脆弱性が発見されているという。1つめの問題は、ページ更新中に、あるページに埋め込まれたJavaScriptを実行すると別のページへとび、クロスドメインスクリプティングを仕込まれるHTTPリダイレクトにつながって引き起こされる。
2つめは、JavaScriptエンジンで利用されるPerl Compatible Regular Expressions(PCRE)ライブラリでヒープオーバーフローを引き起こす脆弱性の問題。リモートの攻撃者によって、悪質なページへと誘導して任意のコードを実行される恐れがある。
3つめは、HTTPリクエストのヘッダを連続処理する際のXMLHttpRequestにおけるエラーにより、細工を施したWebページに誘導してクロスサイトスクリプティングの脆弱性を突かれる問題。
4つめは、ユニコード文字を含むドメイン名を処理する際のエラーにより、偽装したWebサイトの攻撃を受けるというもの。そして最後は、WebKitエンジンによるフレームセットのレンダリング中の無効なタイプ変換により、攻撃者に悪意のあるWebページを使ってシステムを悪用されてしまう。
これらの脆弱性の影響を受けるのはiPhoneのバージョン1.0とそれ以前。Safariのセキュリティ問題などを修正した最新のソフトウェアバージョン1.0.1に更新すると解消できるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR