iOS 7.1.1 のセキュリティコンテンツについて

iOS 7.1.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

iOS 7.1.1

  • CFNetwork HTTPProtocol

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ネットワーク上で特権的な地位を利用した攻撃者が、Web サイトの資格情報を入手する可能性がある。

    説明:Set-Cookie HTTP のヘッダ行が完了する前に接続が途切れた場合でも、同ヘッダが処理されてしまいます。攻撃者にとっては、セキュリティ設定が送信される前に強制的に接続を切断させることで Cookie のセキュリティ設定を取り除き、保護されていない状態の Cookie の値を入手することが可能になります。この問題は、不完全な HTTP ヘッダ行を無視することで解消されました。

    CVE-ID

    CVE-2014-1296:Inria Paris の Prosecco の Antoine Delignat-Lavaud 氏

  • IOKit カーネル

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ローカルユーザがカーネルポインタを読み込めるため、カーネルアドレス空間配置のランダム化を回避するために悪用される可能性がある。

    説明:IOKit オブジェクトに格納されている一連のカーネルポインタが、ユーザランドから取得される可能性があります。この問題は、オブジェクトからポインタを削除することで解決されました。

    CVE-ID

    CVE-2014-1320:HP の Zero Day Initiative に協力する Google Project Zero の Ian Beer 氏

  • セキュリティ - Secure Transport

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ネットワーク上で特権的な地位を利用した攻撃者が、SSL で保護されたセッションのデータを傍受したり、オペレーションを改ざんしたりする場合がある。

    説明:「トリプルハンドシェイク」攻撃で、攻撃者が同じ暗号化キーとハンドシェイクを持つ 2 つの接続を確立して、攻撃者のデータを 1 つの接続に挿入して再ネゴシエーションし、両方の接続が互いに転送されるようにできる場合があります。このシナリオに基づいた攻撃を防ぐために、Secure Transport が変更され、再ネゴシエーション中にサーバ証明書が再ネゴシエーション前と同一であることがデフォルトで確認されるようになりました。

    CVE-ID

    CVE-2014-1295:Inria Paris の Prosecco の Antoine Delignat-Lavaud 氏、Karthikeyan Bhargavan 氏、Alfredo Pironti 氏

  • WebKit

    対象となるデバイス:iPhone 4 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:WebKit にメモリ破損の脆弱性が複数存在します。この問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2013-2871:miaubiz 氏

    CVE-2014-1298:Google Chrome Security Team

    CVE-2014-1299:Google Chrome Security Team、Apple、セゲド大学/Samsung Electronics の Renata Hodovan 氏

    CVE-2014-1300:HP の Zero Day Initiative に協力する Google Project Zero の Ian Beer 氏

    CVE-2014-1302:Google Chrome Security Team、Apple

    CVE-2014-1303:HP の Zero Day Initiative に協力する KeenTeam

    CVE-2014-1304:Apple

    CVE-2014-1305:Apple

    CVE-2014-1307:Google Chrome Security Team

    CVE-2014-1308:Google Chrome Security Team

    CVE-2014-1309:cloudfuzzer 氏

    CVE-2014-1310:Google Chrome Security Team

    CVE-2014-1311:Google Chrome Security Team

    CVE-2014-1312:Google Chrome Security Team

    CVE-2014-1313:Google Chrome Security Team

    CVE-2014-1713:HP の Zero Day Initiative に協力する VUPEN

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: