AppleはOS XとiOSの深刻なグラフィックベースのセキュリティ脅威を修正しました

OS XとiOSに新たなセキュリティ脅威が存在します。攻撃者が画像ファイルを送信することで、デバイスをリモート操作したり、マルウェアをインストールしたりする恐れがあります。この脅威はかなり深刻ですが、現時点ではまだ概念実証段階であり、AppleはOS X 10.11.6とiOS 9.3.3でこの脆弱性を修正しました。

CiscoのTalosチームはこの脆弱性を発見し、MacのWebブラウザ経由で動作する概念実証を作成しました。この脆弱性は、メッセージアプリやWebブラウザなどのアプリで画像を自動レンダリングするためのOS組み込みツールを利用することで機能し、場合によってはユーザーの操作を必要としません。

Talosによると、このエクスプロイトはTIFF、OpenEXR、DAE、BMP画像のファイルプロパティを悪用します。しかし、今回のケースではTIFFが最も危険です。なぜなら、画像を受信するだけでエクスプロイトが実行される可能性があるからです。

タロスチームはこう語った。

この脆弱性は、タイル化されたTIFF画像をレンダリングする際にApple Image I/O APIを利用するあらゆるアプリケーションで悪用される可能性があるため、特に懸念されます。つまり、攻撃者は、iMessage、悪意のあるWebページ、MMSメッセージ、またはApple Image I/O APIを利用してこれらの種類のファイルをレンダリングするあらゆるアプリケーションで開かれたその他の悪意のある添付ファイルなど、幅広い潜在的な攻撃ベクトルを用いて、この脆弱性を悪用するペイロードを配信できる可能性があります。

チームは、この脆弱性はOS X 10.11.5以前、およびiOS 9.3.2以前に影響を与えると発表しました。OS X 10.11.6およびiOS 9.3.3へのアップデートでこの問題は修正され、セキュリティアップデート2016-004ではOS X Mavericks 10.9.5およびOS X Yosemite 10.10.5の脆弱性が修正されています。

舞台恐怖症に悩まされる

このセキュリティ脆弱性は、Androidデバイスユーザーを狙った深刻なテキストメッセージベースのエクスプロイトであるStagefrightと比較されています。どちらもMMSを標的として利用できるという点で類似点がありますが、Androidの大きな弱点の一つであるソフトウェアアップデートを浮き彫りにしています。

AppleとGoogleはそれぞれ、それぞれの脆弱性に対するパッチをリリースしましたが、アップデートを入手できないため、何百万人ものAndroidユーザーが依然として危険にさらされています。Appleは自社デバイスのアップデートをすべて管理しているのに対し、GoogleはAndroidデバイスユーザーがいつアップデートを入手できるか、あるいは入手するかどうかを決定するサービスプロバイダーの意向に左右されることが多いのです。

Apple デバイスのユーザーはアップデートを迅速に行う傾向があるため、悪意のある攻撃の可能性を減らすことにもつながります。

警戒を怠らない

幸いなことに、Apple 社は、このイメージの脆弱性が概念実証以上のものになる前にパッチを当てており、Talos チームはパッチが公開されるまで待ってから調査結果を公表しました。

OS X El Capitan をご利用で、まだバージョン 10.11.6 にアップデートしていない方は、今すぐアップデートしてください。また、OS X Mavericks および Yosemite をご利用の方も、2016-004 セキュリティアップデートをインストールしてください。iOS をご利用の方は、9.3.3 アップデートを今すぐインストールしてください。

申し訳ありませんが、Android ユーザーの方はご自身で対処してください。