Apple Watchの影で

AppleのWebサイトで告知されていますが、iOS 8.2ではかなりのセキュリティ脆弱性が修正されています。

影響を受けるのは、iPhone系がiPhone 4s, iPhone 5/5c/5s, iPhone 6/6 Plus、iPod Touchが5世代目以降、それからiPadがiPad2以降(iPad Airも含む)です。要はこれまで最新だったiOS 8.1.3がインストールできるデバイスすべて対象となります。

セキュリティ脆弱性

AppleのWebページによると、8.2で以下の脆弱性が修正されます。

CoreTelephony

CoreTelephony機能にはヌルポインタ参照問題があり、攻撃者がデバイスをリスタートできます。

iCloud Keychain

iCloudキーチェーンのリカバリにおけるデータ操作時の複数のバッファオーバフロー問題により、攻撃者が任意のコードを実行できる可能性があります。

IOSurface

IOSurfaceがシリアライズされたオブジェクトを扱うときの型問題により、不正なアプリケーションがシステムの権限で任意のコードを実行してしまう可能性があります。

MobileStorageMounter

開発者向けのディスクマウントロジックが間違ったディスクイメージフォルダを削除しないという問題により、不正なアプリケーションがファイルシステム内の信頼された場所にフォルダを作れてしまう可能性があります。

Secure Transport

この問題はFREAKと呼ばれており、特権ネットワークにいる攻撃者がSSL/TLS通信に割り込みをかけることができます。

Springboard

アクティベーション時の予期しないアプリケーション終了により、デバイスを物理的に触れる人が、そのデバイスがアクティベートされていない状態においてもホームスクリーンを見ることができてしまいます。

というわけで、結構な量のセキュリティアップデートです。AppleWatchのいらないアプリがインストールされると文句を言っている場合じゃない。アップデートしましょう!

iOS 7系は?

iOS 7系(最終バージョンはiOS 7.1.2)で更新の止まったiPhone 4などについては、今回のアップデート対象外になっています。

そのため、もし対策したい場合は脱獄して非公式のパッチを当てる以外の方法はありません。非公式のパッチはそもそも脱獄が必要ですし、不完全だったりリスクを伴いますので、悩ましいところです。