※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Apple は、サイズが 86.7 MB のソフトウェアアップデートとして、多くのバグ修正とその他の改良を含む iOS バージョン6.1を公開しました。
iPad 2以降、iPhone 3GS 以降、およびiPod touch(4th generation)以降に対応し、製品のセキュリティ強化に加えて、いくつかの機能改良も行われています:
- LTE 対応キャリアを追加
- 米国ユーザ向けが Siri を使って Fandango から映画のチケットを購入可能
- iTunes Match の登録メンバーが iCloud から個別に曲をダウンロード可能
- Advertising Identifier(広告識別子)をリセットするための新しいボタンを追加
まず、Apple によるはじめての iOS6 メジャーアップデートである iOS 6.1 が、現在テスト中とされる制限なしのジェイルブレークに与える影響については多くの iOS ユーザによる憶測が飛んでいます。
Mac Observer の報告によれば、ジェイルブレークチームのメンバーの一人が、ユーザを長く待たせはしないと言っていることから、2月にはジェイルブレークが可能になると想像されます。
機能改良の面では、比較的マイナーなアップデートと評価されていますが、iOS 6.1には、無視できないバグ修正が含まれています。iOS 6.1では、合計27の CVE がカバーされ、広範なセキュリティ問題を解決します。
Appleのソフトウェアアップデートには、次のバグ修正が含まれています:
CVE-2013-0963: 証明書ベースのApple ID認証に依存した認証がバイパスされる可能性がある。
説明: Identity Servicesにエラー処理の問題が存在していました。ユーザのAppleID証明書が確認できないと、ユーザのAppleIDが空の文字列と判断されていました。そのため、異なるユーザが所有する複数のシステムでこの状態が起きると、この確認方式に依存するアプリケーションが勘違いしてそのまま信用してしまうことがあります。この問題は、空の文字列でなくNULLを返すことで修正されました。CVE-2011-3058: 危険なウェブサイトを訪問すると、クロスサイトスクリプティング攻撃につながる可能性があります。
説明: EUC-JPエンコードの処理に、EUC-JPでエンコードされたウェブサイトでクロススクリプティング攻撃につながる標準化の問題が存在しました。この問題は、EUC-JPマッピングテーブルをアップデートして修正されました。CVE-2013-0964: ユーザモードプロセスが、カーネルメモリの最初のページにアクセスできる可能性があります。
説明: iOSカーネルには、ユーザモードプロセスがカーネルメモリに直接アクセスできないように、copyinおよびcopyoutファンクションに渡されるユーザモードポインタとその長さをチェックしています。しかし、長さが1ページより短いとチェックされていませんでした。この問題は、copyinおよびcopyoutの引数のチェックを強化することで修正されました。CVE-2013-0974: モバイルSafariでユーザの操作なしに、JavaScriptが有効になる可能性があります。
説明: ユーザがSafariの設定でJavaScriptを無効にしていても、Smart App Bannerを表示するサイトを訪問した際、ユーザに警告せずにJavaScriptを有効に切り替えます。この問題は、Smart App Bannerを利用するサイトを訪問しても、JavaScriptを有効にしないことで修正されました。CVE-2012-2857, CVE-2012-3606, CVE-2012-3607, CVE-2012-3621, CVE-2012-3632, CVE-2012-3687, CVE-2012-3701, CVE-2013-0948, CVE-2013-0949, CVE-2013-0950, CVE-2013-0951, CVE-2013-0952, CVE-2013-0953, CVE-2013-0954, CVE-2013-0955, CVE-2013-0956, CVE-2012-2824, CVE-2013-0958, CVE-2013-0959, CVE-2013-0968: 危険なウェブサイトを訪問すると、予想外にアプリケーションが終了するか、任意のコードの実行が行われる可能性があります。
説明: WebKitに複数のメモリ破損問題がありました。この問題は、メモリ処理を改良して修正されました。CVE-2013-0962: 危険なウェブサイト上でコンテンツをコピー/ペーストすると、クロスサイトスクリプティング攻撃につながる可能性があります。
説明: 異なるソースからペーストされたコンテンツの処理に、クロスサイトスクリプティング問題がありました。この問題は、コンテンツのペーストのチェックを強化して修正されました。CVE-2012-2889: 危険なウェブサイトを訪問すると、クロススクリプティング攻撃につながる可能性があります。
説明: フレーム要素の処理にクロススクリプティング問題がありました。この問題は、ソースのチェックを強化することで修正されました。CVE-2012-2619: 同じWiFiネットワーク上のリモート攻撃者が、WiFiを一時的に無効にできる可能性がありました。
説明: BroadcomのBCM4325およびBCM4329ファームウェアの802.11i情報要素の処理に、メモリ境界外からの読み取り問題がありました。この問題は、802.11i情報要素のチェックを強化して修正されました。
Apple iOS デバイスのユーザは、iTunes から、あるいは端末の「設定> ソフトウェアアップデート」を介してアップデートを適用できます。
Posted on January 28th, 2013 by Derek Erwin
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。