もう一人のY君

主にiPhoneのショートカットアプリのレシピやTipsなどを書いています. たまに数学の記事も書きます.

もう一人のY君 MENU  MENU

Apple iOS11.3では27項目の脆弱性に対処

ios11-3s

 本日すべてのiOS11対応デバイスに向けリリースされたiOS11.3では, 27項目のセキュリティに関する脆弱性に対処しています.

 

blog.thetheorier.com

 

スポンサーリンク

 

 

セキュリティコンテンツ

About the security content of iOS 11.3

Released March 29, 2018 Clock Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation Impact: A person with physical access to an iOS device may be able to see the email address used for iTunes Description: An information disclosure issue existed in the handling of alarms and timers.

 

 個人的に気になったのは以下の5点です.

 

  • 6:デバイスに物理的にアクセスできるユーザーが, iCloudのパスワードを入力せずにFind My iPhoneを無効にできてしまう可能性.
  • 11:特権を持つネットワーク上のクラッカーが, S/MIMEで暗号化された電子メールの内容を傍受してしまう可能性.
  • 21:リモートを介したクラッカーが, デバイスを突然再起動させてしまう可能性.
  • 22:Webアプリケーションで予期せずCokieが残ったままになってしまう可能性.
  • 27:非特権アプリケーションが, セキュアな入力モードが有効になっていても他のアプリケーションに入力されたキーストロークをログに記録できてしまう可能性.

 

 

1.Clock

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 iOSデバイスに物理的にアクセスできるユーザーが、iTunesで使用されている電子メールアドレスを見ることができてしまう可能性.
説明 アラームとタイマーの情報開示に問題があり, アクセス制限を改善することで対処.

 

 

2.CoreFoundation

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 アプリケーションが昇格された特権を得てしまう可能性.
説明 追加検証を行うことで競合状態に対処.

 

 

3.CoreText

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意を持って作成された文字列を処理すると, サービス拒否につながる可能性.
説明 メモリ処理の改善によって対処.

 

 

4.File System Events

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 アプリケーションが昇格された特権を得てしまう可能性.
説明 追加検証を行うことで競合状態に対処.

 

 

5.Files Widget

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 ファイルウィジェットがロックされたデバイスにコンテンツを表示してしまう可能性.
説明 ロックされた状態でもキャッシュデータを表示していたのが原因で, これを解消することで対処.

 

 

6.Find My iPhone

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 デバイスに物理的にアクセスできるユーザーが, iCloudのパスワードを入力せずにFind My iPhoneを無効にできてしまう可能性.
説明 バックアップから復元する際にの状態管理に問題があったようで, リストア時の状態管理を改善することで対処.

 

 

7.iCloud Drive

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 アプリケーションが昇格された特権を得てしまう可能性.
説明 追加検証を行うことで競合状態に対処.

 

 

8.Kernel

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意のあるアプリケーションがカーネル権限で任意のコードを実行してしまう可能性.
説明 メモリ処理を改善することで対処.

 

 

9.Kernel

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意のあるアプリケーションが制限付きメモリを読み取ってしまう可能性.
説明 入力サニタイズを改善することで対処.

 

 

10.Kernel

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 アプリケーションがカーネル権限で任意のコードを実行してしまう可能性.
説明 メモリ処理の改善によって対処.

 

 

11.Mail

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 特権を持つネットワーク上のクラッカーが, S/MIMEで暗号化された電子メールの内容を傍受してしまう可能性.
説明 メモリ処理の改善によって対処.

 S/MIMEは電子メールにおける暗号化の仕組みの一つで, 認証局という第三者機関を経て不特定多数とのメールのやり取りを安全に行うものです.

 友達や閉じたコミュニティなどでは認証局を介さない, 導入が用意なPGPという暗号方式もあります.

 

 

12.NSURLSession

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 アプリケーションが昇格された特権を得てしまう可能性.
説明 追加検証を行うことで競合状態に対処.

 

 

13.PluginKit

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 アプリケーションが昇格された特権を得てしまう可能性.
説明 追加検証を行うことで競合状態に対処.

 

 

14.Quick Look

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 アプリケーションが昇格された特権を得てしまう可能性.
説明 追加検証を行うことで競合状態に対処.

 

 

15.Safari

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 リンクをクリックして悪意あるWebサイトにアクセスすると, ユーザーインターフェイスのなりすましにつながる可能性.
説明 矛盾したインターフェイスに対する状態管理を改善することで対処.

 

 

16.Safari Login AutoFill

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意あるWebサイトにおいて, 明示的なユーザー操作なしにSafariで自動入力されたデータを抽出されてしまう可能性.
説明 自動フィリングヒューリスティックの改善によって対処.

 

 

17.SafariViewController

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意あるWebサイトにアクセスすると, ユーザーインターフェイスのなりすましにつながる可能性.
説明 リンク先ページが読み込まれるまでテキスト入力を無効にすることで対処.

 

 

18.Security

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意あるアプリケーションが特権を昇格させてしまう可能性.
説明 バッファオーバーフローを改善することで対処.

 

 

19.Storage

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意あるアプリケーションが昇格された特権を得てしまう可能性.
説明 追加検証を行うことで競合状態に対処.

 

 

20.System Preferences

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 削除後に設定プロファイルが誤って有効なままになることがある可能性.
説明 設定クリーンアップを改善することで対処.

 

 

21.Telephony

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 リモートを介したクラッカーが, デバイスを突然再起動させてしまう可能性.
説明 メッセージ検証を改善することで対処.

 

 

22.Web App

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 Webアプリケーションで予期せずCokieが残ったままになってしまう可能性.
説明 Cokieの状態管理を改善することで対処.

 

 

23.WebKit

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意を持って作成されたWebコンテンツを処理すると, 任意のコードが実行される可能性.
説明 メモリ処理を改善することで対処.

 

 

24.WebKit

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 ASSERTエラーの原因とあるインデックスタイプとの予期しない対話が発生する可能性.
説明 javascriptコアの複数の関数における処理を改善することで対処.

 

 

25.WebKit

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意を持って作成されたWebコンテンツを処理すると, サービス拒否につながる可能性.
説明 入力検証を改善改善することで対処.

 

 

26.WebKit

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 悪意あるWebサイトがデータのクロスオリジンを抽出してしまう可能性.
説明 入力検証を改善改善することで対処.

 

 

27.WindowServer

対応機種 iPhone 5, iPad Air, iPod touch6以降
影響 非特権アプリケーションが, セキュアな入力モードが有効になっていても他のアプリケーションに入力されたキーストロークをログに記録できてしまう可能性.
説明 キー状態をスキャンすることで, セキュアであってもキーストロークを記録できてしまっていたようです, 対処済み.

 

 

 機能追加の大きなアップデートだけあって内容も多く, 重要なものがいくつか見られます.

 可能な限りアップデートすることをオススメします.