iOS 4.2.7 ソフトウェア アップデートのセキュリティコンテンツについて説明します。このアップデートは、iTunes を使って ダウンロードしてインストールすることができます。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
iPhone 用 iOS 4.2.7 ソフトウェア アップデート
-
証明書信頼ポリシー
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:特権のあるネットワークポジションの攻撃者がユーザの資格情報またはその他の機密情報を攻撃する場合があります。
説明:複数の不正な SSL 証明書が Comodo 関連登録機関によって発行されました。これにより、中間者攻撃を行う者が接続をリダイレクトして、ユーザの資格情報またはその他の機密情報を攻撃することができました。この問題は、不正な証明書をブラックリストに追加することによって解決できます。
注意:Mac OS X システムについては、セキュリティアップデート 2011-002 でこの問題に対応しています。Windows システムの場合、Safari は、SSL サーバの証明書が信頼できるものかどうかの判断をホストのオペレーティングシステムの証明書ストアに依存しています。Microsoft Knowledge Base 2524375 で説明されているアップデートを適用すると、これらの証明書が Safari によって信頼できないとみなされます。この Microsoft 社の文書は こちら から参照できます。
-
クイックルック
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:悪意を持って作成された Microsoft Office ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される場合がある。
説明:クイックルックによる Microsoft Office ファイルの処理には、メモリ破損の原因となる問題があります。悪意を持って作成された Microsoft Office ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-1417:TippingPoint の Zero Day Initiative に協力している Charlie Miller 氏および Dion Blazakis 氏
-
WebKit
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:ノードセットの処理において、整数のオーバーフローの問題があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-1290:Vincenzo Iozzo 氏、Willem Pinckaers 氏、Ralf-Philipp Weinmann 氏、TippingPoint の Zero Day Initiative に協力する匿名の研究者
-
WebKit
対象となるバージョン:iPhone 4 用 iOS 4.2.5 ~ 4.2.6 (CDMA)
影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。
説明:テキストノードの処理において、解放後使用の問題があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
CVE-ID
CVE-2011-1344:TippingPoint の Zero Day Initiative に協力する Vupen Security、および Martin Barbella 氏