iTunesアカウント、不正利用についての続報。iOS 4以前に驚愕の脆弱性。
Appleが、ちょっとびっくりな発表をしています。
CFNetwork
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:ユーザの Apple ID のパスワードがローカルファイルに記録される可能性がある。
説明:ユーザの Apple ID のパスワードとユーザ名はシステム上のアプリケーションから読み取ることができるファイルに記録されていました。この問題は、これらの資格情報の記録を廃止することで解決されています。
iOS 5では、解決されているそうですが、iOS 5を導入できないiPod touch 2nd Gen以前のユーザーおよびiPhone 3G以前のユーザーはどうすればいいんでしょうね?
iTunesのIDやパスワードが大々的に漏えいして、不正利用されているのは、これも原因の1つかも。Appleから、実際にこの脆弱性が利用されて被害が出ている、という報告はまだ無いですけどね。大元からダダ漏れであれば、いくらユーザーが1Passwordや、1Password Proで自衛しても意味なし芳一。
というわけで、iPhoneやiPad、iPod touchといった、iOSデバイスからApp StoreやiTunes Storeにアクセスして、Appを購入した、もしくは音楽や映画をダウンロード購入した方は、当然その時のIDやパスワードが端末に残っている可能性もある(iOS 3〜4のユーザーの場合)わけで、早急にiTunesアカウントのパスワードを変更されることをお勧めします。
あと、これ以外にも、iOS 3およびiOS 4は、
CalDAV
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:特権のあるネットワークポジションを使用する攻撃者が CalDAV カレンダーサーバからのユーザの資格情報またはその他の機密情報を攻撃する場合がある。
説明:CalDAV ではサーバから提示される SSL 証明書が信頼されていることが、チェックされていませんでした。
カレンダー
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 4.2.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 4.2.0 ~ 4.3.5、iPad:iOS 4.2.0 ~ 4.3.5
影響:悪意を持って作成されたカレンダーの参加依頼を表示すると、ローカルドメインでスクリプトが実行される場合がある。
説明:カレンダーの参加依頼メモの処理に、スクリプトインジェクションの問題があります。この問題は、参加依頼のメモに含まれる特殊文字のエスケープを改善することで解決されています。この問題は、iOS 4.2.0 より前のデバイスには影響がありません。
CFNetwork
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成された Web サイトにアクセスすると、機密情報が漏洩する可能性がある。
説明:CFNetwork による HTTP Cookie の処理に問題があります。悪意を持って作成された HTTP または HTTPS の URL にアクセスすると、CFNetwork が特定のドメインの Cookie を該当ドメイン外のサーバに不正に送信する可能性があります。
CoreFoundation
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成された Web サイトまたは電子メールメッセージを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:CoreFoundation による文字列のトークン化の処理に、メモリ破損の原因となる問題があります。
CoreGraphics
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成されたフォントが埋め込まれている文書を表示すると、任意のコードが実行される可能性がある。
説明:FreeType に複数のメモリ破損があります。これらの脆弱性に起因するもっとも重大な問題として、悪意を持って作成されたフォントを処理した場合に、任意のコードが実行される可能性があります。
CoreMedia
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:悪意を持って作成された Web サイトにアクセスすると、ほかのサイトのビデオデータが漏洩する可能性がある。
説明:CoreMedia でのクロスサイトのリダイレクト処理には、クロスオリジンの原因となる問題があります。この問題は、オリジン追跡機能を改良することで解消されています。
等々、非常の多くの脆弱性を含んでいるようです。しかし、iPhone 3GもiPod touch 2ndも持ってるおいらは、iOS 5にはアップデートできないし、どうすっかな。
« Macの定番パスワード管理ツール、1Passwordが50%オフの格安セール中。iPhone・iPad用も半額です! | トップページ | Mac用パーソナルデータベース、BentoがMac App Storeで4300円→2950円に値下げ。さらに、MKV Converterが無料など、Mac App Store 値下げ情報! »
「パソコン・インターネット」カテゴリの記事
「携帯・デジカメ」カテゴリの記事
- AC100V対応の30,000mAhのモバイルバッテリーが100個限定で 3,800円OFF!とお買い得(2020.07.03)
- MacBook Proの充電も可能なUSB PD 90w出力の急速充電器が4,329円とお買い得!(2020.05.22)
- 13インチMacBook Proを2時間で満充電にできるUSB PD 60w出力の20,000mAhモバイルバッテリーが超お買い得!(2020.02.10)
- 「Adobe Creative Cloud コンプリート 12か月版」が45,000円とお買い得!(2020.02.04)
- 1億800万画素の5眼カメラ搭載で5万円台のXiaomi 「Mi Note 10」と「Mi Note 10 Pro」、予約受付開始!(2019.12.10)
「音楽」カテゴリの記事
- 半年ぶりのEWIは指が回らずw(2021.03.29)
- 楽器経験はないけど何かはじめたい方に最適なウインドシンセ「EWI5000」が59,341円と過去最安値!(2020.11.30)
- ヤマハのデジタルサックス「YDS-150」、現在の納期は11/21-23みたいですよ!(2020.11.16)
- ヤマハがデジタルサックス「YDS-150」を発表。欧州では10月30日販売開始!(2020.09.25)
- 楽器経験なしのおっさんが何か始めたいならコレです。「AKAI EWI5000」が63,000円と過去最安値!(2020.06.09)
「Mac」カテゴリの記事
- SanDiskの大容量ポータブルSSDがお買い得!(2020.10.14)
- MacBook Proを充電可能な最大87w出力のモバイルバッテリー「Anker PowerCore III Elite 25600 87W」販売開始!(2020.10.08)
- Macユーザー、iPhoneユーザーに人気のベルキン製品がお買い得! 「Belkin Thunderbolt3 Express Dock Pro HD 【F4U097JA-A】0.8mケーブル付 」は27,899円!(2020.09.03)
- AC100V対応の30,000mAhのモバイルバッテリーが100個限定で 3,800円OFF!とお買い得(2020.07.03)
- Parallels Desktop for MacやPDF Expertを含む総額 $1,127.82相当のMacアプリ 11個が驚きの $54! 「The Limited Edition Mac Bundle Ft. Parallels Desktop」始まります。(2020.06.03)
「iPhone・iPod・iPad」カテゴリの記事
- ポルシェ・ケイマン(987c)、安い診断機(ダイアグテスター・OBD2スキャナー)を買ってみたら意外と使える!(2020.10.14)
- MacBook Proを充電可能な最大87w出力のモバイルバッテリー「Anker PowerCore III Elite 25600 87W」販売開始!(2020.10.08)
- AC100V対応の30,000mAhのモバイルバッテリーが100個限定で 3,800円OFF!とお買い得(2020.07.03)
- ワイヤレス・ノイズキャンセルヘッドホンの決定版かも。SONYが「WH-CH710N」を15,400円で販売開始!(2020.05.27)
- MacBook Proの充電も可能なUSB PD 90w出力の急速充電器が4,329円とお買い得!(2020.05.22)
« Macの定番パスワード管理ツール、1Passwordが50%オフの格安セール中。iPhone・iPad用も半額です! | トップページ | Mac用パーソナルデータベース、BentoがMac App Storeで4300円→2950円に値下げ。さらに、MKV Converterが無料など、Mac App Store 値下げ情報! »
コメント