Appleは本日、モバイルソフトウェアの新バージョン「iOS 5.1.1」をリリースしました。このアップデートには、多数のバグ修正に加え、モバイル版Safariにおける危険なURLスプーフィング脆弱性に対するパッチも含まれているようです。
今年3月にMajor Security社が発見した脆弱性についてお伝えしました。この脆弱性により、ウェブページはSafariのアドレスバーに表示されるURLを偽装し、ユーザーに別のウェブサイトにアクセスしていると信じ込ませることができるのです…
Apple は iOS 5.1.1 セキュリティサポートページでこの修正について説明しています。
"サファリ
対応機種: iPhone 3GS、iPhone 4、iPhone 4S、iPod touch (第3世代) 以降、iPad、iPad 2
影響: 悪意を持って作成されたウェブサイトが、ロケーションバーのアドレスを偽装できる可能性がある。
説明:Safari に URL スプーフィングの脆弱性が存在しました。これは、悪意のあるウェブサイトで悪用され、見た目上は正当なドメインであるように見える偽装サイトにユーザーを誘導する恐れがあります。この問題は、URL 処理を改善することで解決されています。この問題は OS X システムには影響しません。
Appleは、この脆弱性の発見者をMajor SecurityのDavid Viera-Kurz氏と適切に認定しています。Viera-Kurz氏はこの問題を最初に提起し、詳細なブログ記事を公開しただけでなく、実際にバグが動作するデモも作成しました。
[カルト・オブ・マック]
