iOS、OS X、Safariの更新版公開 セキュリティ問題にも対処
「iOS 8.4」と「OS X Yosemite 10.10.4」、「Safari」「Mac EFI」の更新版がリリースされ、多数の脆弱性が修正された。
米Appleは6月30日に公開した「iOS 8.4」で、多数の深刻な脆弱性に対処した。同時にOS XとMac EFI、Safariの脆弱性を修正する更新版もそれぞれリリースされた。
iOS 8.4は、iPhone 4s以降とiPod touch(第5世代)以降、iPad 2以降が対象となる。5月に発覚した「Logjam」と呼ばれるTLSプロトコルの脆弱性を修正したほか、中国の認証局China Internet Network Information Center(CNNIC)によって不正な中間証明書が発行されていた問題に対応して、問題の中間証明書が発行される以前に発行された証明書のサブセットのみを信頼できる証明書として扱う仕組みを追加した。
この他にも、任意のコード実行に利用される恐れのある深刻な脆弱性が多数修正されているほか、HTMLメールの内容が任意のWebページに書き換えられてしまう問題や、細工を施したWebサイトによってアカウントを乗っ取られる恐れがあるSafariの脆弱性など、相当数の脆弱性が修正されている。
また、「OS X Yosemite 10.10.4」と、OS X 10.8.5(Mountain Lion)/10.9.5(Mavericks)を対象とする「セキュリティアップデート2015-005」でも、Logjamの脆弱性やCNNICの証明書関連の問題を含めて多数の脆弱性に対処した。
Safariの更新版となるバージョン8.0.7/7.1.7/6.2.7は、それぞれOS X Yosemite/Mavericks/Mountain Lion向けにリリースされ、アカウント乗っ取りや任意のコード実行などにつながる脆弱性4件に対応した。「Mac EFIセキュリティアップデート2015-001」はOS X Mountain LionとMavericksを対象として、EFIフラッシュメモリの改ざんや権限昇格に利用される恐れのある2件の脆弱性を修正している。
関連記事
- TLSに脆弱性「Logjam」発覚、主要ブラウザやメールサーバに影響
「FREAK」と同様、1990年代の米国の暗号輸出規制に起因する脆弱性が新たに発覚した。 - GoogleとMozilla、中国認証局の新規証明書を一時的に失効
中国の認証局CNNICが新たに発行する証明書は当面の間、ChromeとFirefoxで信頼できない証明書として扱われる。 - iOSのメールアプリに問題か、フィッシング悪用の恐れも
問題を悪用された場合、リモートのHTMLコンテンツを読み込んで、本来のメールメッセージのコンテンツに置き替えることができてしまう。 - iPhoneのクラッシュ問題、Appleが対策説明
「特定のユニコード文字の連続によって引き起こされるiMessageの問題」をAppleが認め、当面の対策を紹介した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.