アップル、iPhoneの脆弱性10件を修正
文:Robert Vamosi(CNET News.com)
翻訳校正:ラテックス・インターナショナル
2007/09/28 13:59
Appleは米国時間9月27日、「iPhone」の脆弱性に対処した10件のセキュリティアップデートを発表した。そのうち7件はiPhone版Safariである「MobileSafari」の脆弱性に対処したものである。アップデートはiTunesでのみダウンロード可能で、Appleのダウンロードページからは入手できない。アップデート適用後のiPhoneのバージョンは1.1.1(3A109a)になる。さらに、今回のセキュリティアップデートで修正されていないセキュリティの脆弱性について、Appleは、「顧客を保護するため、十分な調査が行われ、必要なパッチまたはリリースが公開されるまで、Appleはセキュリティ問題を公表、論議、追認することはない」と述べ、論議を拒否している。
Bluetooth
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3753の脆弱性に対処している。通信範囲内にいる攻撃者は、BluetoothをオンにしたiPhoneに不正なService Discovery Protocol(SDP)パケットを送信して問題を引き起こし、その結果、アプリケーションの突然終了や、任意のコード実行を招くおそれがある。Appleはこの脆弱性を報告したFlexilis Mobile SecurityのKevin Mahaffey氏とJohn Hering氏に謝意を述べている。
電子メールの中間者攻撃(man-in-the-middle attack)
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3754の脆弱性に対処している。電子メールが受送信時の接続にSSLを使用するよう設定されていると、メールサーバのIDが変更されている場合や信用できない場合でも、ユーザーに警告メッセージが表示されず、中間者攻撃につながる可能性がある。
電子メールによる電話番号リンク
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3755の脆弱性に対処している。「ユーザーに電子メールのメッセージ内の電話番号リンクをクリックさせることにより、攻撃者は、ユーザーの確認を得ずに、iPhoneに電話をかけさせることができる」。Appleはこの脆弱性を報告したMcAfeeのAndi Baritchi氏に謝意を述べている。
Safari 1
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3756の脆弱性に対処している。「Safariの設計上の問題により、ウェブページに親ウィンドウで閲覧中のURLを読み取らせることができる。ユーザーを不正なウェブぺージに誘導することにより、攻撃者は無関係なページのURLを入手できる可能性がある」。Appleはこの問題を報告したGoogleのMichal Zalewski氏とSecunia Researchに謝意を述べている。
Safari 2
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3757の脆弱性に対処している。「Safariは電話番号をダイヤルするテレフォン(「tel:」)リンクをサポートしている。リンクを選択すると、その番号にダイヤルするか確認するメッセージが表示される。不正なリンクでは、確認の際、実際にダイヤルされる番号とは異なる番号が表示される可能性がある。また、確認中にSafariを終了すると、意図せず確認されてしまう可能性もある」。Appleはこの問題を報告したHP Security Labs(旧SPI Labs)のBilly Hoffman氏とBryan Sullivan氏、およびEduardo Tang氏に謝意を述べている。
Safari 3
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3758の脆弱性に対処している。「Safariには、クロスサイトスクリプティングの脆弱性が存在する。これは、不正なウェブサイトに、異なるドメインで運営されているウェブサイトのJavaScriptウィンドウのプロパティの設定を可能にする。ユーザーを不正なウェブサイトに誘導することにより、攻撃者は問題を引き起こし、他のウェブサイトで提供されているページのウィンドウのステータスや配置を入手または設定できる」。Appleはこの問題を報告したGoogleのMichal Zalewski氏に謝意を述べている。
Safari 4
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3759の脆弱性に対処している。「SafariではJavaScriptの有効、無効を設定できる。この設定は、設定後にSafariが再起動されて、始めて有効になる。通常、Safariの再起動はiPhoneの再起動時に行われる。このため、JavaScriptが有効でも、無効になっているとユーザーが勘違いする場合がある。
Safari 5
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3760の脆弱性に対処している。「Safariのクロスサイトスクリプティングの脆弱性により、不正なウェブサイトに、「frame」タグを使っている、出所が同じポリシーの回避を可能にする。ユーザーを不正なウェブページに誘導することにより、攻撃者は問題を引き起こし、別のサイトでJavaScriptを実行できる可能性がある」。Appleはこの問題を報告したGoogleのMichal Zalewski氏とSecunia Researchに謝意を述べている。
Safari 6
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-3761の脆弱性に対処している。「Safariのクロスサイトスクリプティングの脆弱性により、JavaScriptのイベントを間違ったフレームに関連づけることができる。ユーザーを不正なウェブページに誘導することにより、攻撃者は、別のサイトでJavaScriptを実行できる可能性がある」
Safari 7
このパッチはAppleのiPhoneユーザーが対象で、CVE-2007-4671の脆弱性に対処している。「Safariの脆弱性により、HTTPで提供されているコンテンツが、同じドメインのHTTPSで提供されているコンテンツを改変したりアクセスしたりすることができる。ユーザーを不正なウェブページに誘導することにより、攻撃者は、そのドメインのHTTPS形式のウェブページでJavaScriptを実行できる可能性がある」。Appleはこの問題を報告したLittle eArth Corporation(LAC)の山崎圭吾氏に謝意を述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
データセンターに最適なNECのiモデル
グリーンITとセキュリティ統制の実現注目トピックス From ZDNet Japan
無料の「Oracle Database XE」で高速バッチ処理:実装のポイント- 本連載もいよいよ4回目。Oracle Database XEのインストールから、データベースをバッチ処理エンジンとして活用する意義とポイントを紹介してきた。今回は実装時のポイントをみていこう。
- Firefoxで情報をカンタン・ベンリに整理する
- iPhoneにFirefoxとFlashは載らないの?
- うつで病院に行くことを恐れるな
- 安全こそが銀行の“ウリ”--「みずほダイレクト」が講じたセキュリティ強化策とは?
- 脆弱性の情報開示はいかに失敗したか
- WebサイトのiPhone 3G対応問題を考える(ハード編)
この記事を読んだ人におすすめ
- アップル、Mac OS X用パッチを一斉リリース--iPhone初のアップデートも実施 2007/08/01 13:10:00
特集
アップルが進める「製品の移行」--CFOの発言をめぐる憶測- 米国時間7月21日の業績発表でアップルの最高財務責任者(CFO)が述べた「製品の移行」という言葉が、さまざまな憶測を呼んでいる。
10代の若者と携帯が鍵--米国広告市場における今後の流れ- 日本と同様、米国でも10代の若者の間では携帯電話などの携帯端末が主流になりつつある。この流れに着目する企業側は、次の一手を考えている。
オピニオン
■インタビュー
「ニコニコ動画を日本のインフラにする」--夏野氏がニコニコ動画に参画した理由- iモードの育ての親として知られる元NTTドコモの夏野剛氏が、新たな活躍の場としてニコニコ動画を選んだ。夏野氏の参画でニコニコ動画はどう変わるのか、夏野氏とニワンゴ取締役の西村博之氏(ひろゆき)に話を聞いた。
ゲームソフト会社から見たiPhoneの魅力--「ここまで整ったプラットフォームは世界初」- 7月11日、ついにiPhoneが発売され、アプリ販売サイト「AppStore」がオープンした。iPhoneの本当の魅力はどこにあり、今までの携帯電話やゲーム機とは何が違うのか。ハドソン執行役員の柴田真人氏に聞いた。
■コラム
ゲーム市場の台風の目と期待されるカプコン- 全般軟調相場が続いている東京株式市場の中で、ここにきて逆行高の兆しをみせているのがゲームソフト大手のカプコンだ。
- オリンパス、第1四半期決算好調観測--円安も追い風に
- 東京株式相場が深刻な下げに見舞われている中にあって、比較的堅調な値運びをみせているのが好業績も期待できるオリンパスだ。
今こそ求められるフリービジネスのデザイン・スキル- インターネット上の多くのサービスは、無料で提供されている。エグジットを狙ったビジネスデザインでありながらも、それなりの評価を得ているサービスは多々ある。その理由として、無料サービスを可能にするビジネスモデルが成立しているからだ、といわれる。
企画特集
DELLが掲げる「新・仮想化アセスメントサービス」- 〜企業システムの仮想化環境の構築を支援〜
ブログネットワーク
アルファブロガー
林信行氏、モディファイのアドバイザーに- CNET Japan Staff BLOG
今アーキテクチャが面白い- 外資系エグゼクティブの日々
インターネットのリュミエール- クロサカタツヤの情報通信インサイト
Googleお前もか?- 平野敦士カールのアライアンスInsight
原宿で野宿を含む15時間 - iPhone行列完全ドキュメント- ケータイ時代のスタンダード
マスとは違う、ネット広告クリエイティブのモードと作法- 福徳俊弘のリッチ&リーチメディア論
iPhoneという奇跡- 江島健太郎 / Kenn's Clairvoyance
サミット、サミット、そして今こそ!公衆無線LAN- 末吉隆彦 ロケーションウェアの「空」と「実」
IBM Global CEO Study 2008からみえる世界- 渡辺聡・情報化社会の航海図
MVNOは永遠にVirtualなビジネスモデルなのか? 〜Helioがたった$39MでVirginに買収〜- 宮田拓弥の東西ケータイ見聞録
「失われた10年」からの回復は、どういう課題を残したか?- 村上敬亮 情報産業の未来図
暗黙共同体へ−秋葉原事件で考える- 佐々木俊尚 ジャーナリストの視点
パラレルワールドとしての電脳コイル- 鈴木健の天命反転生活日記
NINの最新アルバムはCCライセンス- Lessig Blog (JP)
検索結果の「鮮度」が変わる、Google "QDF"アルゴリズムの仕組み- 渡辺隆広のサーチエンジン情報館
読者ブロガー
コレクティブストアというマーケットプレース- 通信を続けて25年
iPhone対応サイトについて思うこと- ネットのニュース.log
全国健康保険協会の会計(意見募集)- 電子政府パブリックコメントの抜粋
体力消耗戦に突入、携帯電話業界- 知財Now
「Parallels Desktop 4.0 for Mac」は「Mac OS X Server 10.5 Leopard」をゲストOSとしてサポートへ- Mac OS X Trend Informations
『誰でもよかった』犯人増殖する- 夢幻∞大のドリーミングメディア
いや、実は俺アカウント捨てたんだ。- いちのせレポート
そろそろiPhone以外の話題が欲しいです- Life with Mac and more.
■調査レポートダウンロード
- Alloraでレガシー・スクリーン・データを構造化されたRDBMSにリアルタイムでエクスポート
- NetManage社のOnWebソリューションとHiT Software社とそのAlloraデータベース・マッピング製品を組み合わせることにより、非構造化したレガシー・スクリーン・データを構造化されたRDBMSにリアルタイムでエクスポート
■調査発表
- 米の企業向け無線データサービスの収益は2008年109億ドルに
- 「基地局関連メーカ各社の動向−2007年度通期−」を販売開始
- iPhoneとAndroidはワイヤレス産業における重要な変化の契機となる
イベント情報
- ERP教室 〜ERP導入検討、及び情報収集されている企業様向け!ERPでできることについてGRANDITを使ってご紹介〜
- 主催:日商エレクトロニクス株式会社
- 超実戦マーケティング徹底講座
- 主催:株式会社新社会システム総合研究所
- 朝礼担当者養成講習会
- 主催:NBCコンサルタンツ株式会社
CNET Japan セレクション
-
フォトレポート:分解、アップル「iPhone 3G」
- CNET News.comの姉妹サイトであるTechRepublicは、7月11日に発売されたばかりの「iPhone 3G」を早速分解し、その様子を紹介した。
-
ちょっと変わった「iPhone」向けアプリケーション10種
- 「iTunes」のApp Storeでは、「iPhone」向けのさまざまなアプリケーションが販売または無償で提供されているが、中にはちょっと変わったアプリケーションも存在する。
-
契約してわかった、iPhoneのさまざまな注意事項
- 7月11日にソフトバンクモバイルから発売された、アップル製携帯電話「iPhone 3G」。その契約手続きの中で、機種変更時の料金やメールの保存期間など、iPhoneが持つさまざまな注意事項が見えてきた。
-
フォトレポート:米陸軍が表彰した2007年の技術
- 米陸軍は毎年春、前年の優れた発明を発表している。このフォトレポートでは、選出された2007年の優れた発明を写真とともに紹介する。
-
30日間、完全無防備でインターネットを利用したらどうなる?--マカフィーが実験
- マカフィーは、スパマーが心理的な計略を使ってインターネットユーザーをだましており、しかもその手法は進化を続けていることがわかったと発表した。
-
フォトレポート:ゲーム見本市「E3 2008」--MS、任天堂、ソニーなど主要プレスカンファレンス
- 米国時間7月15日からロサンゼルスで開催されているゲーム見本市「E3」。マイクロソフト、任天堂、ソニーが開いたプレスカンファレンスの模様を写真で紹介する。
主要記事
最新記事
今日の見どころ
最新モバイル端末、参考出展技術--写真で見るワイヤレスジャパン2008
アナキン子役やベイダーの中の人が来日--スター・ウォーズ出演者のいま
時代を振り返る--「MS-DOS 4」のインストール
プレスリリース
- クオリカ:テキストマイニングツール「VextMiner」の新バージョンを発売
- クオリカ
- 『モーターマガジンポケット』にて、「東本昌平 RIDE」のきせかえツール・EZケータイアレンジの提供開始
- 日本エンタープライズ
- 米の企業向け無線データサービスの収益は2008年109億ドルに
- データリソース
- マンション購入お役立ち情報ブログ『マンションフリーク〜住まいの回覧板〜』に新たにモデルルームレポート『アデニウム和光』がアップされました
- イー・ステート・オンライン
- オークション相場比較のオークファン(Aucfan.com)、株式会社デファクトスタンダードと連携。ブランド商品を激安価格でオークションユーザーに試験販売開始。
- オークファン
レビュー
[レビュー]高い信頼性を普通に使う地球に優しい電源ユニット--Antec EarthWattsシリーズ EA-650- “自作ユーザーは、電源ユニットに何を求めるのか?”出力なのか、安定性なのか、それとも機能性なのか?難し
オンリーワンの個性を極めた超薄型テレビ--日立 Wooo UTシリーズ- 日立製作所の超薄型液晶テレビWooo UT 770シリーズは2008年6月にラインアップが増強され、さらに日立らしい
[レビュー]“この手があったか”と思わせるパワーユーザーも納得のPCオンデマンド--「VALUESTAR G タイプR Luiモデル」+「Lui RN」詳細レビュー- 「VALUESTAR GタイプR Luiモデル+PCリモーター」は、設置場所にとらわれずにPCを使える、NECが新しく提案
[レビュー]テレビを持ち歩ける最強ツール--ソニー、Blu-rayレコーダー「BDZ-A70」- 加速度的に製品の認知度を普及させているBlu-rayレコーダー。その高画質、長時間録画という製品特性に「お
今週の新製品総チェック:ソニー「VAIO」が新キーワードを発表、ビクターからはYouTube対応ビデオカメラ
[レビュー]ネットワーク対応の高機能デジタルフォトフレーム--ソニー「Canvas Online CP1」
15時間の行列で手に入れたiPhone 3Gファーストインプレッション--ソフトバンクモバイル「iPhone 3G」
今週の新製品総チェック:まさにiPhone一色の1週間、ついに店頭発売へ
北京を見逃すな!--2008年夏、今買うべき「薄型テレビ」
CNET_ID
メンバー限定サービスをご利用いただく場合、このページの上部からログイン、またはCNET_ID登録(無料)をしてください。
- CNET Networks Japan: ZDNet Japan | CNET Japan | VENTURE VIEW | GameSpot Japan | Tetsudo.com
- USA Business Sites: BNET.com | CNET.com | CNET Channel | Download.com | News.com | TechRepublic | ZDNet.com |
- International Business Sites : Asia | Australia | China | France | Germany | Korea | Taiwan | UK
シーネットネットワークスジャパンについて Copyright © 1995-2008 CNET Networks, Inc. All Rights Reserved. 個人情報保護方針 | 利用規約 | 訂正 | 広告について | 人材募集