MMSを受け取るだけでiPhoneの各種認証情報・パスワードを抜き取れる脆弱性が明らかに

By Omar Jordan Fawahl

MMSを開いたりTwitterのリンクをクリックするだけで端末を乗っ取られるというAndroid端末の95%に存在していた脆弱性「Stagefright」が2015年7月に報告されていましたが、このStagefrightに酷似した脆弱性がiOSおよびOS Xにも存在することが判明しました。

Cisco Talos Blog: Vulnerability Spotlight: Apple Remote Code Execution With Image Files
http://blog.talosintel.com/2016/07/vulnerability-spotlight-apple-remote.html#more


Apple Lovers Get Patching -- Just One Text Can Steal Your iPhone Passwords - Forbes
http://www.forbes.com/sites/thomasbrewster/2016/07/19/apple-iphone-ios-9-vulnerabilities-like-stagefright/#1610e14a3947

この脆弱性は、セキュリティインテリジェンス&リサーチグループのCisco Talosの研究者であるTyler Bohan氏が発見したもの。イメージデータを扱うクラスの「ImageIO」に含まれるもので、MMS・iMessage・感染したSafariのウェブページなどに添付されたTIFF形式のファイルからiOS端末の情報を抜き取ることができるという重大な脆弱性が確認されています。

なお、Appleはサンドボックスというセキュリティ機構を設けているため、ハッカーが端末を丸ごと乗っ取るにはジェイルブレイク(脱獄)が必要になり、2015年のAndroidの脆弱性であるStagefrightのように、端末の全コントロールを奪われる可能性は低いようです。

By Håkan Dahlström

これらの脆弱性は2016年7月18日にリリースされた最新版アップデート「iOS 9.3.3」「OS X 10.11.6」で対処済みなので、できるだけ早くアップデートを適用しておけば安心です。

About the security content of iOS 9.3.3 - Apple サポート
https://support.apple.com/ja-jp/HT206902

About the OS X El Capitan v10.11.6 Update - Apple サポート
https://support.apple.com/ja-jp/HT206770

・関連記事
95%ものAndroidがTwitterのリンクをクリックするだけ・動画再生するだけで乗っ取られる「Stagefright」攻撃への対応が始まる - GIGAZINE

iOS・OS Xに危険なゼロデイ脆弱性、OSを最新版にアップデートで回避可能 - GIGAZINE

「あなたのiPhoneは会社や学校に監視されているよ」と教える新機能が次期iOSに搭載予定であることが判明 - GIGAZINE

GoogleがAndroidのアップデートを迅速に配布すべくスマホメーカーに強硬手段をとる - GIGAZINE

Android 4.4以降搭載の端末66%がピンチに陥るLinuxカーネルのゼロデイ脆弱性が発見される - GIGAZINE

203

in ソフトウェア, Posted by darkhorse_log