iOS 8.2 のセキュリティコンテンツについて
iOS 8.2 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
iOS 8.2
CoreTelephony
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:リモートの攻撃者によってデバイスが突然再起動される可能性がある。
説明:CoreTelephony の Class 0 SMS メッセージの処理に、ヌルポインタ逆参照の脆弱性が存在しました。この問題は、メッセージ検証を改善することで解決されました。
CVE-ID
CVE-2015-1063 : スウェーデンの Roman Digerberg 氏
iCloud キーチェーン
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:特権のあるネットワークポジションを利用する攻撃者が、任意のコードを実行できる可能性がある。
説明:iCloud キーチェーンの復元の際に、データの処理にバッファオーバーフローの問題が複数存在しました。この問題は、バウンドチェックを強化することで解決されました。
CVE-ID
CVE-2015-1065 : NowSecure の Andrey Belenko 氏
IOSurface
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:不正なアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:IOSurface によるシリアル化されたオブジェクトの処理において、タイプの混乱の問題がありました。この問題は、型チェックを強化することで解消されました。
CVE-ID
CVE-2015-1061:Google Project Zero の Ian Beer 氏
MobileStorageMounter
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:不正なアプリケーションが、ファイルシステムの信頼できる場所にフォルダを作成する可能性がある。
説明:デベロッパのディスクマウントロジックに問題があったため、無効なディスクイメージフォルダが削除されなくなりました。この問題はエラー処理を改善したことで解決されました。
CVE-ID
CVE-2015-1062 : TaiG Jailbreak Team
Secure Transport
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:特権のあるネットワークポジションの攻撃者が SSL/TLS で保護されている接続を傍受する可能性がある。
説明:十分な強度を持つ RSA 暗号スイートを使用する接続で、通常は輸出グレードの RSA 暗号スイートでのみ使用される短い一時的な RSA 鍵が Secure Transport により受け入れられていました。この問題は FREAK とも呼ばれ、輸出グレードの RSA 暗号スイートをサポートするサーバへの接続にのみ関係していました。この問題は、一時的な RSA 鍵のサポートを削除することで解消されました。
CVE-ID
CVE-2015-1067:INRIA (パリ) の Prosecco の Prosecco Benjamin Beurdouche 氏、Karthikeyan Bhargavan 氏、Antoine Delignat-Lavaud 氏、Alfredo Pironti 氏、Jean Karim Zinzindohoue 氏
Springboard
対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降
影響:デバイスに物理的にアクセスできる人物は、デバイスがアクティベートされていなくてもデバイスのホーム画面を表示できる可能性がある。
説明:アクティベーション中にアプリケーションが予期せず終了することが原因で、デバイスのホーム画面が表示された可能性があります。この問題はアクティベーション中のエラー処理を改善することで解決されました。
CVE-ID
CVE-2015-1064
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。