iPhoneの脆弱性は旧バージョンのアプリケーションが原因
このやり方なら、攻撃者が簡単にiPhoneのゼロデイエクスプロイトを発見できてしまうとMcAfeeは指摘。さらなるゼロデイ攻撃の恐れもある。
米AppleのiPhoneに見つかった脆弱性は、iPhoneに使われていた古いバージョンのオープンソースアプリケーションに起因することが判明した。セキュリティ企業のMcAfeeがブログで伝えている。
Appleは7月31日、iPhoneのアップデートとなるv1.0.1を公開し、複数の脆弱性を修正した。McAfeeによると、その翌日、アップデートで対処された脆弱性に関する詳細が公表され、この問題を突いたエクスプロイトも見つかったという。
この脆弱性は、SafariブラウザのJavaScriptエンジンに使われているオープンソースアプリケーションのPCRE(Perl Compatible Regular Expression Library)構文解析ツールに存在する。iPhoneに使われていたのはPCREのバージョン6.2で、最新版の7.2ではなかった。
リリースノートを見れば、エクスプロイトに利用されたPCRE 6.2の脆弱性情報が明記されており、このやり方なら攻撃者は簡単にiPhoneのゼロデイエクスプロイトを発見できてしまうとMcAfeeは指摘する。
iPhoneが使っている旧バージョンのオープンソースアプリケーションは複数あることをMcAfeeは示唆しており、iPhoneとMac OS Xについて今後さらに詳細が発覚すれば、オープンソースのバージョンの違いを突いた単純な手口のゼロデイ攻撃もさらなる発生が予想されるという。
ただ、Appleもこれを教訓として、オープンソースコンポーネントを最新状態に保つだろうとMcAfeeは指摘している。
関連記事
- iPhoneに不正コード実行など複数の脆弱性、Appleが修正版公開
仏FrSIRTによると、iPhoneに任意のコードを実行されるなど複数の脆弱性が発見された。 - iPhoneの脆弱性突くコンセプト実証コードが登場、個人情報盗む
iPhoneに搭載されたSafariブラウザで悪質なWebページを閲覧させ、iPhoneに保存された個人情報を不正に取得することが可能だという。 - ブラウザ経由でiPhoneを悪用する攻撃 有料ダイヤルに転送も
Safariブラウザで表示された電話番号からダイヤルすると、さまざまな攻撃に遭う可能性があるという。 - iPhoneで大規模攻撃はあり得るか
iPhoneに攻撃を仕掛けるとすれば、どんな方法があるのか。Symantecが検証結果を公開した。 - 紛失、情報流出……企業もiPhoneセキュリティ問題への備えが必要に
iPhoneが会社の情報の転送や持ち運びに使われれば、情報流出などの問題が起きるのも必至だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.