ITmedia NEWS > セキュリティ >
ニュース
» 2020年04月23日 11時40分 公開

iOSのメールにゼロデイ脆弱性の指摘 メールを受け取るだけで被害か(Appleからのコメントあり)

非常に危険な脆弱性がiPhone、iPadにあることが指摘された。報告者によれば既に攻撃例もあるという。

[松尾公也,ITmedia]

 セキュリティ企業の米ZecOpsは4月20日(現地時間)、最新バージョンであるiOS 13を含むiOSデバイスのメール機能に脆弱(ぜいじゃく)性があり、既に攻撃が始まっていると公式ブログで指摘した

photo ZecOps公式ブログ

 攻撃者は、リッチテキスト形式のメールや複数に内容を分割した規格のメール(MIMEマルチパート)など、メモリを大量に消費するメッセージを送付。それを一部でも受け取ると悪意のあるコードが外部から実行されてしまう。iOS 12では手動で開封したときに攻撃されるが、iOS 13ではバックグラウンドで受け取るだけで攻撃にさらされる。

 ZecOpsはこの脆弱性を突いた攻撃が2018年1月に起きていたと指摘。iOS 6(iPhone 5時代)以降でこの脆弱性の存在が認められるという。

 ZecOpsによれば、この脆弱性はiOS 13.4.5でフィックスされているが、これはまだβ版で、現在の最新版iOSは13.4.1だ。

photo iOSの最新版は脆弱性未パッチ

※4月24日追記:

Apple広報担当者から問題への対応についてコメントが寄せられた。要旨は次の通り:

AppleはZecOpsからの報告を全て調査したが、同社から提供された情報からは、この問題はAppleのユーザーに対して直近の脅威とはならないとの結論に至った。報告ではMailについて3つの問題点が指摘されていたが、それだけでiPhoneとiPadのセキュリティ防御をバイパスするには不十分で、当社の顧客が攻撃を受けたという証拠も見つかっていない。これらの潜在的問題は近々行われるソフトウェアアップデートで対策される予定だ。

Copyright © ITmedia, Inc. All Rights Reserved.