Appleは、iOS 12.1.4ソフトウェアアップデートとmacOS Mojave 10.14.3追加アップデートでiPhone、iPad、MacのグループFaceTime盗聴バグを修正したほか、iPhoneとiPadのショートカットアプリ内で最近発見された重大なセキュリティ問題も解決した。
先週お伝えしたように、このアプリには重大な欠陥があり、攻撃者が悪意のあるショートカットを作成して配布し、連絡先、住所、ファイル、その他のユーザーデータを収集し、バックグラウンドで iMessage 経由で ZIP ファイルを攻撃者に送信することができました。
本日のショートカット 2.1.3 アップデートに付随する App Store のリリースノートには、詳細不明のバグ修正と改善のみが記載されていますが、Apple の Web サイトのサポート ドキュメントには、アップデートのセキュリティ コンテンツに関する詳細情報が記載されています。
https://twitter.com/AvimanyuRoy3/status/1090819201369923584
最初のバグでは、ディレクトリ パスの処理における解析の問題により、ローカル ユーザーが機密性の高いユーザー情報を閲覧できる可能性がありましたが、パス検証の改善により解決されました。
Appleのサンドボックス制限を回避するもう一つの脆弱性も修正されました。セキュリティ文書では、これらの問題を報告したAvimanyu Roy氏に謝辞が述べられています。
「フォンティス高等学校ICTのセム・フォイクトレンダー氏のご支援に感謝申し上げます」と文書には記されている。
Shortcuts は App Store から無料でダウンロードできます。
