もう一人のY君

iPhoneアプリのレビューやアップデートレビューなどを書いています. たまに数学の記事も書きます.

もう一人のY君 MENU  MENU

Apple iOS12.0では16項目の脆弱性に対処

ios12-security

 iOS12.0では機能改善のほかに16項目の脆弱性への対処が行われています.

 

blog.thetheorier.com

 

 

スポンサーリンク

 

 

セキュリティコンテンツ

About the security content of iOS 12

Accounts Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation Impact: A local app may be able to read a persistent account identifier Description: This issue was addressed with improved entitlements. CVE-2018-4322: Min (Spark) Zheng, Xiaolong Bai of Alibaba Inc.

 今回は項目によって対応機種が異なるものが存在します.

 

 いづれも重要ですがその中でより重要な項目を羅列しておきます.

 

  • 特権を持つネットワーク上のクラッカーが, Bluetoothトラフィックを傍受してしまう可能性
  • カメラアクセスが許可される前に, 現在のカメラビューに関する情報をアプリが知ってしまう可能性
  • 特権を持つネットワーク上のクラッカーが, iTunes Storeでパスワードのプロンプトをスプーフィングできてしまう可能性
  • ローカルユーザーが, ユーザーの削除したメッセージを発見できてしまう可能性
  • ローカルユーザーが, ユーザーの削除したメモを発検出できてしまう可能性
  • ローカルユーザーが, ユーザーが訪問したWebサイトを検出できてしまう可能性
  • ユーザーがブラウズ履歴項目を削除できないことがある可能性
  • 悪意あるWebサイトがSafariで自動入力されたデータを流出させることができてしまう可能性
  • 悪意あるWebサイトにアクセスすると, アドレスバーのなりすましが発生してしまう可能性
  • iOS端末に物理的にアクセスしているユーザーが, ロック画面から最後に使用したアプリを特定できてしまう可能性

 

 

1.Account

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 ローカルアプリが永続的なアカウント認識子を読み取ってしまう可能性.
説明 エンタイトルメントを改善することにより対処.

 

 

2.Bluetooth

対応機種 iPhone SE, 6s, 6s Plus, 7, 7 Plus
iPad mini 4
12.9インチiPad Pro 1, 2世代
10.5インチiPad Pro 2世代
9.7インチiPad Pro
iPad 5世代
iPod touch6以降
影響 特権を持つネットワーク上のクラッカーが, Bluetoothトラフィックを傍受してしまう可能性.
説明 入力検証を改善することによより対処.

 

 

3.Core Bluetooth

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 アプリケーションがシステム特権で任意のコードを実行できてしまう可能性.
説明 メモリ処理を改善することにより対処.

 

 

4.CoreMedia

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 カメラアクセスが許可される前に, 現在のカメラビューに関する情報をアプリが知ってしまう可能性.
説明 アクセス許可の検証を強化することにより対処.

 

 

5.IOMobileFrameBuffer

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 アプリケーションが制限付きメモリを読み取ってしまう可能性.
説明 入力サニタイズを改善することにより対処.

 

 

6.iTunes Store

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 特権を持つネットワーク上のクラッカーが, iTunes Storeでパスワードのプロンプトをスプーフィングできてしまう可能性.
説明 入力検証を改善することにより対処.

 スプーフィングとは, ハッカーがユーザーデータを盗み, マルウェアを拡散させたりネットワーク上の別のデバイスないしユーザーになりすますことを言います.

 

 

7.Karnel

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 アプリケーションが制限付きメモリを読み取ってしまう可能性.
説明 入力検証を改善することにより対処.

 

 

8.Messages

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 ローカルユーザーがユーザーの削除したメッセージを発見できてしまう可能性.
説明 メッセージの削除処理を改善することにより対処.

 

 

9.Notes

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 ローカルユーザーがユーザーの削除したメモを発検出できてしまう可能性.
説明 メモの削除処理を改善することにより対処.

 

 

10.Safari

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 ローカルユーザーが, ユーザーが訪問したWebサイトを検出できてしまう可能性.
説明 アプリケーションスナップショットの処理を改善することにより対処.

 

 

11.Safari

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 ユーザーがブラウズ履歴項目を削除できないことがある可能性.
説明 データの削除処理を改善することにより対処.

 

 

12.Safari

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 悪意あるWebサイトがSafariで自動入力されたデータを流出させることができてしまう可能性.
説明 状態管理理を改善することにより対処.

 

 

13.SafariViewController

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 悪意あるWebサイトにアクセスすると, アドレスバーのなりすましが発生してしまう可能性.
説明 状態管理理を改善することにより対処.

 

 

14.Security

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 クラッカーによってRC4暗号アルゴリズムの弱点を悪用できてしまう可能性.
説明 RC4を削除することにより対処.

 

 

15.Status Bar

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 iOS端末に物理的にアクセスしているユーザーが, ロック画面から最後に使用したアプリを特定できてしまう可能性.
説明 制限を改善することにより対処.

 

 

16.Wi-Fi

対応機種 iPhone 5s, iPad Air, iPod touch6以降
影響 アプリケーションが制限付きメモリを読み取ってしまう可能性.
説明 入力サニタイズを改善することにより対処.