MMSを受け取るだけでiPhoneの各種認証情報・パスワードを抜き取れる脆弱性が明らかに

By Omar Jordan Fawahl

MMSを開いたりTwitterのリンクをクリックするだけで端末を乗っ取られるというAndroid端末の95％に存在していた脆弱性「Stagefright」が2015年7月に報告されていましたが、このStagefrightに酷似した脆弱性がiOSおよびOS Xにも存在することが判明しました。

Cisco Talos Blog: Vulnerability Spotlight: Apple Remote Code Execution With Image Files
http://blog.talosintel.com/2016/07/vulnerability-spotlight-apple-remote.html#more

Apple Lovers Get Patching -- Just One Text Can Steal Your iPhone Passwords - Forbes
http://www.forbes.com/sites/thomasbrewster/2016/07/19/apple-iphone-ios-9-vulnerabilities-like-stagefright/#1610e14a3947

この脆弱性は、セキュリティインテリジェンス＆リサーチグループのCisco Talosの研究者であるTyler Bohan氏が発見したもの。イメージデータを扱うクラスの「ImageIO」に含まれるもので、MMS・iMessage・感染したSafariのウェブページなどに添付されたTIFF形式のファイルからiOS端末の情報を抜き取ることができるという重大な脆弱性が確認されています。

なお、Appleはサンドボックスというセキュリティ機構を設けているため、ハッカーが端末を丸ごと乗っ取るにはジェイルブレイク(脱獄)が必要になり、2015年のAndroidの脆弱性であるStagefrightのように、端末の全コントロールを奪われる可能性は低いようです。

By Håkan Dahlström

これらの脆弱性は2016年7月18日にリリースされた最新版アップデート「iOS 9.3.3」「OS X 10.11.6」で対処済みなので、できるだけ早くアップデートを適用しておけば安心です。

About the security content of iOS 9.3.3 - Apple サポート
https://support.apple.com/ja-jp/HT206902

About the OS X El Capitan v10.11.6 Update - Apple サポート
https://support.apple.com/ja-jp/HT206770