昨日の記事にも書いたように,今回ブラウザベースのJailbreakで用いられた脆弱性はiOS自体に存在しているので,たとえJailbreakしていなくても注意が必要です.
CNET Newsによると,Appleのスポークスパーソンがこの問題に対して「今回報告された問題は認識していて既に修正されているので次のソフトウェアアップデートで提供される」とコメントしたそうです.
今回の脆弱性について一番詳しく書かれていたのがINTERNET Watchで内容は以下の通り.
元ネタのタイトルではブラウザのセキュリティホールとなっていますが,Safariだけの問題ではなく本質的にはPDFのエラーとそれに伴うサンドボックスの制限回避が原因のようです.
JailbreakMeというツールではブラウザが利用されましたが,実際にはブラウザ以外からも同様のことが行えるので,現時点で可能な対策としてはブラウザだろうがメールの添付ファイルだろうがPDFファイル(あるいは偽装されたPDFファイルかもしれないもの)は安易に開かないようにするということです.
次のアップデート,iOS 4.1はベータ版のリリース間隔も狭くなってきているためそう遠くない時期にリリースされるといわれていますが,それまでの間はくれぐれもご注意ください.
(via:AppleInsider)
CNET Newsによると,Appleのスポークスパーソンがこの問題に対して「今回報告された問題は認識していて既に修正されているので次のソフトウェアアップデートで提供される」とコメントしたそうです.
今回の脆弱性について一番詳しく書かれていたのがINTERNET Watchで内容は以下の通り.
1件目の脆弱性は、PDFファイル内のCompact Font Format(CFF)データを処理する際に発生するメモリー破壊が原因。悪用されると、細工の施されたウェブページをSafariで閲覧するだけで、任意のコードが実行される恐れがある。
2件目の脆弱性は、カーネルのエラーによって引き起こされるもの。悪用されると、攻撃者の特権を昇格させ、サンドボックスの制限を回避される恐れがある。
元ネタのタイトルではブラウザのセキュリティホールとなっていますが,Safariだけの問題ではなく本質的にはPDFのエラーとそれに伴うサンドボックスの制限回避が原因のようです.
JailbreakMeというツールではブラウザが利用されましたが,実際にはブラウザ以外からも同様のことが行えるので,現時点で可能な対策としてはブラウザだろうがメールの添付ファイルだろうがPDFファイル(あるいは偽装されたPDFファイルかもしれないもの)は安易に開かないようにするということです.
次のアップデート,iOS 4.1はベータ版のリリース間隔も狭くなってきているためそう遠くない時期にリリースされるといわれていますが,それまでの間はくれぐれもご注意ください.
(via:AppleInsider)
<追記>
ITmedia Newsによれば,おそらく上記と同じ脆弱性と思われるものがWindows版のAdobe Reader/Acrobatでも確認されたそうです.
なので,iOSデバイスだけでなくWindowsでもあやしいPDFファイルを開かないようにご注意ください.
Mac版のReaderはどうなんでしょうね.
Appleは既に修正済みの公開待ち状態とコメントしているわけですが,Adobeがいつ修正済みのバージョンを公開するかについては記載がありません.
ITmedia Newsによれば,おそらく上記と同じ脆弱性と思われるものがWindows版のAdobe Reader/Acrobatでも確認されたそうです.
なので,iOSデバイスだけでなくWindowsでもあやしいPDFファイルを開かないようにご注意ください.
Mac版のReaderはどうなんでしょうね.
Appleは既に修正済みの公開待ち状態とコメントしているわけですが,Adobeがいつ修正済みのバージョンを公開するかについては記載がありません.
Trackback URL
http://doubleko.blog18.fc2.com/tb.php/5254-4ccd76cf
この記事にトラックバックする(FC2ブログユーザー)
この記事にトラックバックする(FC2ブログユーザー)
Trackback