米AppleのiPhoneに見つかった脆弱性は、iPhoneに使われていた古いバージョンのオープンソースアプリケーションに起因することが判明した。セキュリティ企業のMcAfeeがブログで伝えている。
Appleは7月31日、iPhoneのアップデートとなるv1.0.1を公開し、複数の脆弱性を修正した。McAfeeによると、その翌日、アップデートで対処された脆弱性に関する詳細が公表され、この問題を突いたエクスプロイトも見つかったという。
この脆弱性は、SafariブラウザのJavaScriptエンジンに使われているオープンソースアプリケーションのPCRE(Perl Compatible Regular Expression Library)構文解析ツールに存在する。iPhoneに使われていたのはPCREのバージョン6.2で、最新版の7.2ではなかった。
リリースノートを見れば、エクスプロイトに利用されたPCRE 6.2の脆弱性情報が明記されており、このやり方なら攻撃者は簡単にiPhoneのゼロデイエクスプロイトを発見できてしまうとMcAfeeは指摘する。
iPhoneが使っている旧バージョンのオープンソースアプリケーションは複数あることをMcAfeeは示唆しており、iPhoneとMac OS Xについて今後さらに詳細が発覚すれば、オープンソースのバージョンの違いを突いた単純な手口のゼロデイ攻撃もさらなる発生が予想されるという。
ただ、Appleもこれを教訓として、オープンソースコンポーネントを最新状態に保つだろうとMcAfeeは指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR