セキュリティ企業の米ZecOpsは4月20日(現地時間)、最新バージョンであるiOS 13を含むiOSデバイスのメール機能に脆弱(ぜいじゃく)性があり、既に攻撃が始まっていると公式ブログで指摘した。
攻撃者は、リッチテキスト形式のメールや複数に内容を分割した規格のメール(MIMEマルチパート)など、メモリを大量に消費するメッセージを送付。それを一部でも受け取ると悪意のあるコードが外部から実行されてしまう。iOS 12では手動で開封したときに攻撃されるが、iOS 13ではバックグラウンドで受け取るだけで攻撃にさらされる。
ZecOpsはこの脆弱性を突いた攻撃が2018年1月に起きていたと指摘。iOS 6(iPhone 5時代)以降でこの脆弱性の存在が認められるという。
ZecOpsによれば、この脆弱性はiOS 13.4.5でフィックスされているが、これはまだβ版で、現在の最新版iOSは13.4.1だ。
※4月24日追記:
Apple広報担当者から問題への対応についてコメントが寄せられた。要旨は次の通り:
AppleはZecOpsからの報告を全て調査したが、同社から提供された情報からは、この問題はAppleのユーザーに対して直近の脅威とはならないとの結論に至った。報告ではMailについて3つの問題点が指摘されていたが、それだけでiPhoneとiPadのセキュリティ防御をバイパスするには不十分で、当社の顧客が攻撃を受けたという証拠も見つかっていない。これらの潜在的問題は近々行われるソフトウェアアップデートで対策される予定だ。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR