本日すべてのiOS11対応デバイスに向けリリースされたiOS11.3では, 27項目のセキュリティに関する脆弱性に対処しています.
スポンサーリンク
- セキュリティコンテンツ
- 1.Clock
- 2.CoreFoundation
- 3.CoreText
- 4.File System Events
- 5.Files Widget
- 6.Find My iPhone
- 7.iCloud Drive
- 8.Kernel
- 9.Kernel
- 10.Kernel
- 11.Mail
- 12.NSURLSession
- 13.PluginKit
- 14.Quick Look
- 15.Safari
- 16.Safari Login AutoFill
- 17.SafariViewController
- 18.Security
- 19.Storage
- 20.System Preferences
- 21.Telephony
- 22.Web App
- 23.WebKit
- 24.WebKit
- 25.WebKit
- 26.WebKit
- 27.WindowServer
- 〆
セキュリティコンテンツ
About the security content of iOS 11.3Released March 29, 2018 Clock Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation Impact: A person with physical access to an iOS device may be able to see the email address used for iTunes Description: An information disclosure issue existed in the handling of alarms and timers.
個人的に気になったのは以下の5点です.
- 6:デバイスに物理的にアクセスできるユーザーが, iCloudのパスワードを入力せずにFind My iPhoneを無効にできてしまう可能性.
- 11:特権を持つネットワーク上のクラッカーが, S/MIMEで暗号化された電子メールの内容を傍受してしまう可能性.
- 21:リモートを介したクラッカーが, デバイスを突然再起動させてしまう可能性.
- 22:Webアプリケーションで予期せずCokieが残ったままになってしまう可能性.
- 27:非特権アプリケーションが, セキュアな入力モードが有効になっていても他のアプリケーションに入力されたキーストロークをログに記録できてしまう可能性.
1.Clock
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | iOSデバイスに物理的にアクセスできるユーザーが、iTunesで使用されている電子メールアドレスを見ることができてしまう可能性. |
| 説明 | アラームとタイマーの情報開示に問題があり, アクセス制限を改善することで対処. |
2.CoreFoundation
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | アプリケーションが昇格された特権を得てしまう可能性. |
| 説明 | 追加検証を行うことで競合状態に対処. |
3.CoreText
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意を持って作成された文字列を処理すると, サービス拒否につながる可能性. |
| 説明 | メモリ処理の改善によって対処. |
4.File System Events
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | アプリケーションが昇格された特権を得てしまう可能性. |
| 説明 | 追加検証を行うことで競合状態に対処. |
5.Files Widget
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | ファイルウィジェットがロックされたデバイスにコンテンツを表示してしまう可能性. |
| 説明 | ロックされた状態でもキャッシュデータを表示していたのが原因で, これを解消することで対処. |
6.Find My iPhone
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | デバイスに物理的にアクセスできるユーザーが, iCloudのパスワードを入力せずにFind My iPhoneを無効にできてしまう可能性. |
| 説明 | バックアップから復元する際にの状態管理に問題があったようで, リストア時の状態管理を改善することで対処. |
7.iCloud Drive
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | アプリケーションが昇格された特権を得てしまう可能性. |
| 説明 | 追加検証を行うことで競合状態に対処. |
8.Kernel
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意のあるアプリケーションがカーネル権限で任意のコードを実行してしまう可能性. |
| 説明 | メモリ処理を改善することで対処. |
9.Kernel
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意のあるアプリケーションが制限付きメモリを読み取ってしまう可能性. |
| 説明 | 入力サニタイズを改善することで対処. |
10.Kernel
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | アプリケーションがカーネル権限で任意のコードを実行してしまう可能性. |
| 説明 | メモリ処理の改善によって対処. |
11.Mail
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 特権を持つネットワーク上のクラッカーが, S/MIMEで暗号化された電子メールの内容を傍受してしまう可能性. |
| 説明 | メモリ処理の改善によって対処. |
S/MIMEは電子メールにおける暗号化の仕組みの一つで, 認証局という第三者機関を経て不特定多数とのメールのやり取りを安全に行うものです.
友達や閉じたコミュニティなどでは認証局を介さない, 導入が用意なPGPという暗号方式もあります.
12.NSURLSession
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | アプリケーションが昇格された特権を得てしまう可能性. |
| 説明 | 追加検証を行うことで競合状態に対処. |
13.PluginKit
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | アプリケーションが昇格された特権を得てしまう可能性. |
| 説明 | 追加検証を行うことで競合状態に対処. |
14.Quick Look
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | アプリケーションが昇格された特権を得てしまう可能性. |
| 説明 | 追加検証を行うことで競合状態に対処. |
15.Safari
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | リンクをクリックして悪意あるWebサイトにアクセスすると, ユーザーインターフェイスのなりすましにつながる可能性. |
| 説明 | 矛盾したインターフェイスに対する状態管理を改善することで対処. |
16.Safari Login AutoFill
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意あるWebサイトにおいて, 明示的なユーザー操作なしにSafariで自動入力されたデータを抽出されてしまう可能性. |
| 説明 | 自動フィリングヒューリスティックの改善によって対処. |
17.SafariViewController
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意あるWebサイトにアクセスすると, ユーザーインターフェイスのなりすましにつながる可能性. |
| 説明 | リンク先ページが読み込まれるまでテキスト入力を無効にすることで対処. |
18.Security
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意あるアプリケーションが特権を昇格させてしまう可能性. |
| 説明 | バッファオーバーフローを改善することで対処. |
19.Storage
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意あるアプリケーションが昇格された特権を得てしまう可能性. |
| 説明 | 追加検証を行うことで競合状態に対処. |
20.System Preferences
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 削除後に設定プロファイルが誤って有効なままになることがある可能性. |
| 説明 | 設定クリーンアップを改善することで対処. |
21.Telephony
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | リモートを介したクラッカーが, デバイスを突然再起動させてしまう可能性. |
| 説明 | メッセージ検証を改善することで対処. |
22.Web App
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | Webアプリケーションで予期せずCokieが残ったままになってしまう可能性. |
| 説明 | Cokieの状態管理を改善することで対処. |
23.WebKit
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意を持って作成されたWebコンテンツを処理すると, 任意のコードが実行される可能性. |
| 説明 | メモリ処理を改善することで対処. |
24.WebKit
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | ASSERTエラーの原因とあるインデックスタイプとの予期しない対話が発生する可能性. |
| 説明 | javascriptコアの複数の関数における処理を改善することで対処. |
25.WebKit
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意を持って作成されたWebコンテンツを処理すると, サービス拒否につながる可能性. |
| 説明 | 入力検証を改善改善することで対処. |
26.WebKit
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 悪意あるWebサイトがデータのクロスオリジンを抽出してしまう可能性. |
| 説明 | 入力検証を改善改善することで対処. |
27.WindowServer
| 対応機種 | iPhone 5, iPad Air, iPod touch6以降 |
|---|---|
| 影響 | 非特権アプリケーションが, セキュアな入力モードが有効になっていても他のアプリケーションに入力されたキーストロークをログに記録できてしまう可能性. |
| 説明 | キー状態をスキャンすることで, セキュアであってもキーストロークを記録できてしまっていたようです, 対処済み. |
〆
機能追加の大きなアップデートだけあって内容も多く, 重要なものがいくつか見られます.
可能な限りアップデートすることをオススメします.
