iTunesアカウント、不正利用についての続報。iOS 4以前に驚愕の脆弱性。
Appleが、ちょっとびっくりな発表をしています。
CFNetwork
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:ユーザの Apple ID のパスワードがローカルファイルに記録される可能性がある。
説明:ユーザの Apple ID のパスワードとユーザ名はシステム上のアプリケーションから読み取ることができるファイルに記録されていました。この問題は、これらの資格情報の記録を廃止することで解決されています。
iOS 5では、解決されているそうですが、iOS 5を導入できないiPod touch 2nd Gen以前のユーザーおよびiPhone 3G以前のユーザーはどうすればいいんでしょうね?
iTunesのIDやパスワードが大々的に漏えいして、不正利用されているのは、これも原因の1つかも。Appleから、実際にこの脆弱性が利用されて被害が出ている、という報告はまだ無いですけどね。大元からダダ漏れであれば、いくらユーザーが1Passwordや、1Password Proで自衛しても意味なし芳一。
というわけで、iPhoneやiPad、iPod touchといった、iOSデバイスからApp StoreやiTunes Storeにアクセスして、Appを購入した、もしくは音楽や映画をダウンロード購入した方は、当然その時のIDやパスワードが端末に残っている可能性もある(iOS 3〜4のユーザーの場合)わけで、早急にiTunesアカウントのパスワードを変更されることをお勧めします。
あと、これ以外にも、iOS 3およびiOS 4は、
CalDAV
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:特権のあるネットワークポジションを使用する攻撃者が CalDAV カレンダーサーバからのユーザの資格情報またはその他の機密情報を攻撃する場合がある。
説明:CalDAV ではサーバから提示される SSL 証明書が信頼されていることが、チェックされていませんでした。
カレンダー
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 4.2.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 4.2.0 ~ 4.3.5、iPad:iOS 4.2.0 ~ 4.3.5
影響:悪意を持って作成されたカレンダーの参加依頼を表示すると、ローカルドメインでスクリプトが実行される場合がある。
説明:カレンダーの参加依頼メモの処理に、スクリプトインジェクションの問題があります。この問題は、参加依頼のメモに含まれる特殊文字のエスケープを改善することで解決されています。この問題は、iOS 4.2.0 より前のデバイスには影響がありません。
CFNetwork
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成された Web サイトにアクセスすると、機密情報が漏洩する可能性がある。
説明:CFNetwork による HTTP Cookie の処理に問題があります。悪意を持って作成された HTTP または HTTPS の URL にアクセスすると、CFNetwork が特定のドメインの Cookie を該当ドメイン外のサーバに不正に送信する可能性があります。
CoreFoundation
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成された Web サイトまたは電子メールメッセージを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:CoreFoundation による文字列のトークン化の処理に、メモリ破損の原因となる問題があります。
CoreGraphics
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示すると、任意のコードが実行される可能性がある。
説明:FreeType に複数のメモリ破損があります。これらの脆弱性に起因するもっとも重大な問題として、悪意を持って作成されたフォントを処理した場合に、任意のコードが実行される可能性があります。
CoreMedia
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成された Web サイトにアクセスすると、ほかのサイトのビデオデータが漏洩する可能性がある。
説明:CoreMedia でのクロスサイトのリダイレクト処理には、クロスオリジンの原因となる問題があります。この問題は、オリジン追跡機能を改良することで解消されています。
等々、非常の多くの脆弱性を含んでいるようです。しかし、iPhone 3GもiPod touch 2ndも持ってるおいらは、iOS 5にはアップデートできないし、どうすっかな。
« Macの定番パスワード管理ツール、1Passwordが50%オフの格安セール中。iPhone・iPad用も半額です! | トップページ | Mac用パーソナルデータベース、BentoがMac App Storeで4300円→2950円に値下げ。さらに、MKV Converterが無料など、Mac App Store 値下げ情報! »
「パソコン・インターネット」カテゴリの記事
「携帯・デジカメ」カテゴリの記事
- MacBook Proの充電も可能なUSB PD 90w出力の急速充電器が4,329円とお買い得!(2020.05.22)
- 13インチMacBook Proを2時間で満充電にできるUSB PD 60w出力の20,000mAhモバイルバッテリーが超お買い得!(2020.02.10)
- 「Adobe Creative Cloud コンプリート 12か月版」が45,000円とお買い得!(2020.02.04)
- 1億800万画素の5眼カメラ搭載で5万円台のXiaomi 「Mi Note 10」と「Mi Note 10 Pro」、予約受付開始!(2019.12.10)
- MacBook Proを充電できる世界最小・最軽量の61w USB-C充電器「Power Delivery Pioneer」がクーポンで超お買い得!(2019.08.01)
「音楽」カテゴリの記事
「Mac」カテゴリの記事
「iPhone・iPod・iPad」カテゴリの記事
- ワイヤレス・ノイズキャンセルヘッドホンの決定版かも。SONYが「WH-CH710N」を15,400円で販売開始!(2020.05.27)
- MacBook Proの充電も可能なUSB PD 90w出力の急速充電器が4,329円とお買い得!(2020.05.22)
- 【明日の日曜まで!】同居の家族内であれば台数無制限でインストールできるセキュリティソフト「マカフィー リブセーフ 3年版」が大特価 3千円!(2020.04.11)
- iOSアプリの「Minimoog Model D Synthesizer (ソフトシンセ)」と「KORG iKaossilator (カオシレーター)」が無償配布中!(2020.03.16)
« Macの定番パスワード管理ツール、1Passwordが50%オフの格安セール中。iPhone・iPad用も半額です! | トップページ | Mac用パーソナルデータベース、BentoがMac App Storeで4300円→2950円に値下げ。さらに、MKV Converterが無料など、Mac App Store 値下げ情報! »
コメント