Appleは月曜日にiOS 10.2をリリースしましたが、セキュリティパッチノートの公開も通常よりはるかに迅速でした。パッチノートによると、今回のリリースでは11件のセキュリティホールが修正されています。これらのホールのほとんどは深刻なもので、ロックされているはずのデバイスの様々な部分へのアクセスを許してしまうものもありました。
iOS 10.2の詳細については、メイン記事をご覧ください。AppleによるiOS 10.2のセキュリティパッチノート全文:
iOS 10.2
2016年12月12日リリース
アクセシビリティ
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:近くのユーザーがパスワードの音声を聞き取ってしまう可能性がある
説明:パスワードの処理において、情報漏洩の脆弱性がありました。この問題は、パスワードの読み上げを無効にすることで解決されました。
CVE-2016-7634:ダヴット・ハリ
アクセシビリティ
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響: iOSデバイスに物理的にアクセスできる人物が、ロック画面から写真や連絡先にアクセスできる可能性がある。
説明:ロック画面の脆弱性により、ロックされたデバイス上の写真や連絡先にアクセスできてしまう問題がありました。この問題は、ロックされたデバイスで提供されるオプションを制限することで解決されました。
CVE-2016-7664: iDeviceHelp の Miguel Alvarado 氏
アカウント
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:アプリのアンインストール時に認証設定がリセットされない問題がありました
説明:この問題は、サニタイズ処理を強化することで解決されました。
CVE-2016-7651: トレンドマイクロの Ju Zhu 氏と Lilang Wu 氏
iPhoneを探す
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:ロック解除されたデバイスを持つ攻撃者は、「iPhoneを探す」を無効にできる可能性があります
説明:認証情報の処理において、状態管理に関する脆弱性が存在していました。この問題は、アカウント情報の保存方法を改善することで解決されました。
CVE-2016-7638: 匿名の研究者、Sezer Sakiner
グラフィックドライバー
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:悪意を持って作成されたビデオを視聴すると、サービス拒否攻撃を受ける可能性がある
説明:ビデオ処理において、サービス拒否の脆弱性がありました。この問題は、入力検証を強化することで解決されました。
CVE-2016-7665: SchlumbergerのMoataz El Gaml氏、匿名の研究者
画像キャプチャ
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:悪意のあるHIDデバイスが任意のコード実行を引き起こす可能性がある
説明: USB イメージデバイスの処理に検証の脆弱性がありました。この問題は、入力検証を強化することで解決されました。
CVE-2016-4690: NCCグループのAndy Davis氏
ローカル認証
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:アイドルタイムアウト後にデバイスが画面をロックしない可能性があります
説明: Touch ID プロンプト表示時のアイドルタイマーの処理にロジック上の問題がありました。この問題は、アイドルタイマーの処理を改善することで解決されました。
CVE-2016-7601:匿名の研究者
郵便
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:失効した証明書で署名されたメールが有効に見える可能性がある
説明: S/MIME ポリシーが証明書の有効性を確認できませんでした。この問題は、メールが失効した証明書で署名されている場合にユーザーに通知することで解決されました。
CVE-2016-4689:匿名の研究者
メディアプレーヤー
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:ユーザーがロック画面から写真や連絡先を閲覧できる可能性がある
説明:メディア選択の処理に検証の脆弱性がありました。この問題は、検証を強化することで解決されました。
CVE-2016-7653
プロフィール
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響:悪意を持って作成された証明書を開くと、任意のコードが実行される可能性がある
説明:証明書プロファイルの処理にメモリ破損の脆弱性がありました。この問題は、入力検証を強化することで解決されました。
CVE-2016-7626:マクシミリアン・アルシモウィッツ (cxsecurity.com)
スプリングボード
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響: iOSデバイスに物理的にアクセスできる人物がデバイスのロックを解除できる可能性がある
説明:パスコードのリセット時に、パスコード試行の処理においてカウンタの不具合が発生する場合がありました。この問題は、状態管理を改善することで解決されました。
CVE-2016-4781:匿名の研究者
スプリングボード
対応機種: iPhone 5以降、iPad 第4世代以降、iPod touch 第6世代以降
影響: iOSデバイスに物理的にアクセスできる人物が、デバイスのロックを解除したままにできる可能性がある
説明: Siri とのハンドオフ処理にクリーンアップの脆弱性がありました。これは、状態管理を改善することで解決されました。
CVE-2016-7597:匿名の研究者
