アップル、「iPhone OS 3.0」で46件のセキュリティ脆弱性を修正

　Appleは米国時間6月17日、「iPhone OS 3.0」に含まれるセキュリティ上の修正について情報を公開した。

　「iPhone」と「iPod Touch」向けの最新OSアップデートによって修正された46件のiPhoneセキュリティ脆弱性について、概要は次のようになる。当初の予想通り、これらのセキュリティパッチの多くは、ウェブブラウジングフレームワーク「WebKit」に関するものである。

　CoreGraphics：CoreGraphicsへの修正によって、悪意のある画像やPDFファイルが予期せぬアプリケーション終了や任意のコード実行を引き起こすのを、防止できるようになった。FreeType v2.3.8で同様の問題を引き起こしていた脆弱性についても、パッチが当てられた。

　Exchange：信頼できない証明書の例外処理を向上させる修正を施すことで、機密情報の漏洩につながる恐れのある悪質なExchangeサーバにユーザーが接続するのを防止できるようにした。

　ImageIO：ImageIOへの修正によって、予期せぬアプリケーション終了や任意のコード実行を引き起こす悪質なPNG画像の使用を防止できるようになった。

　International Components for Unicode：Unicodeへの修正により、ウェブサイトフィルターを迂回して、クロスサイトスクリプティング攻撃を引き起こす恐れのある悪質なコンテンツの使用を防止できるようになった。

　IPSec：IPSecへの修正では、サービス拒否攻撃を引き起こす可能性があるracoonデーモンの複数の脆弱性にパッチが当てられた。

　Libxml：XML library Libxmlへの修正では、Libxml2 version 2.6.16の複数の脆弱性にパッチが当てられた。

　Mail：Mailアプリケーションには、ユーザーがHTMLメッセージのリモート画像の読み込みを制御できるようにする修正が加えられた。さらに、ユーザー側の操作なしに通話を開始する目的で利用される恐れがあるアラートについて、アプリケーションがそれを表示するのを防止する修正も追加された。

　MPEG-4 Video Codec：MPEG-4 Video Codecへの修正では、予期せぬデバイスリセットを引き起こす恐れのある悪質なMPEG-4動画ファイルについて、視聴を防止できるようになる。

　Profiles：Profilesへの修正では、Exchange ActiveSyncが定義するパスコードポリシーの効力を弱める恐れのある設定プロフィールについて、インストールを禁止できるようになる。

　Safari：Safariへの修正によって、SettingsアプリケーションからSafariの履歴を削除することが可能になった。これにより、デバイスに物理的にアクセスできる人が、検索履歴をのぞき見するのを防げるようになった。修正を適用したデバイスでは、検索履歴は、実際に削除される。さらに、ユーザーが悪意のあるウェブサイトにアクセスしてしまった場合でも、「クリックジャッキング」のような別のサイト上での予期せぬアクションを防ぐパッチが適用された。

　Telephony：Telephonyでは、リモートの攻撃者が予期せぬデバイスリセットを引き起こす恐れのある問題が修正された。

　WebKit：今回のリリースでは、iPhoneでのウェブブラウジングが普及したことを受けて、ウェブブラウジングフレームワークであるWebKitに多くの修正が加えられた。これには、悪意のあるウェブサイト訪問時に、任意のコードやスクリプトが実行されるのを防ぐ多数のフィックスが含まれている。これらの脆弱性の一部は、アプリケーションのクラッシュや予期せぬデバイスのリセット、機密情報の漏洩などを引き起こす可能性がある。