AppleのOSには、これまで知られていなかった脆弱性が存在し、攻撃者はユーザーにTIFF画像ファイルを開かせることでデバイスのセキュリティを侵害する可能性があります。幸いなことに、この脆弱性はiOS、macOS、watchOS、tvOSの最新リリースで修正されています。
昨年の大部分にわたって Google の Android プラットフォームを悩ませた危険な Stagefright エクスプロイトに似たこのセキュリティホールにより、悪意のある TIFF 画像ファイルを含む単純なテキスト メッセージにアクセスするとすぐに、悪意のあるユーザーがデバイスから機密データを収集できる可能性があると Fortune が昨日報じた。
この脆弱性は iOS 9.3.2 で初めて発見され、Cisco Talos のエンジニア Tyler Bohan によって Apple に報告されました。Bohan 氏は、BMP、Digital Asset Exchange、OpenEXR、または TIFF 画像ファイルとして保存された不正なペイロードを含む特別に細工されたデータが、メッセージでバッファ オーバーフローを引き起こす可能性があることを発見しました。
その結果、不正なコードが実行され、システムがリモートからの攻撃にさらされる可能性があります。AppleのImage I/O APIを利用して画像をレンダリングする他のアプリも危険にさらされています。Safariも脆弱ですが、ペイロードをトリガーするには、手動でリンクをクリックするか、悪意のあるWebページを読み込む必要があります。
Appleによると:
Apple OS XおよびiOSオペレーティングシステムにおけるTIFF画像の処理には、悪用可能なヒープベースのバッファオーバーフローの脆弱性が存在します。細工されたTIFF文書は、ヒープベースのバッファオーバーフローを引き起こし、リモートコード実行につながる可能性があります。
この脆弱性は、Apple Image I/O API を使用するアプリケーションで開かれたときに、悪意のある Web ページ、MMS メッセージ、iMessage、またはその他の手段で配信されたファイル添付ファイルを介して引き起こされる可能性があります。
Apple プラットフォームでは、この脆弱性は主に TIFF 画像に依存します。
これは、AppleのOSが、iOSのiMessageのように、ユーザーが悪意のあるファイルを開かなくてもTIFFファイルを読み込むケースが多いためです。前述の通り、この懸念すべき脆弱性は、4日前にリリースされたiOS 9.3.3、OS X El Capitan 10.11.6、tvOS 9.2.2、watchOS 2.2.2で修正されています。
Apple の最新アップデートのセキュリティ コンテンツは次のとおりです。
- iOS 9.3.3
- OS X エルキャピタン 10.11.6
- ウォッチOS 2.2.2
- tvOS 9.2.1
- サファリ 9.1.2
投稿時点では、Yosemite および Mavericks の保護アップデートはリリースされていませんでした。
iOS 9.1 以前でジェイルブレイクしていて、安全性を保つプレッシャーのために貴重なジェイルブレイクを失うつもりがない場合は、TIFF Disablerと呼ばれる新しい無料のジェイルブレイク調整をインストールして、デバイスをこのエクスプロイトから保護してください。
当社のアンソニーがそれについてさらに詳しくお伝えします。
出典:フォーチュン
