アップルは7月18日(現地時間)、「iOS 9.3.3」「OSX 10.11.6」「tvOS 9.2.2」「watchOS 2.2.2」の正式版をリリースした。
これらのアップデートは、報告されていた深刻な脆弱性に対応している。その脆弱性とは、TIFFファイルの取扱い方法のバグが関係しているもの。マルウェアの作者がこのバグを悪用すると、TIFFの画像を表示するときに悪意のあるコードを実行させることが可能だ。
つまり、自動的にファイルを開いて写真を見る「iMessage」を利用しただけで、画像にマルウェアが含まれていた場合、コードが実行され、デバイスのメモリーや保存されているパスワードにアクセスされる恐れがあった。
一昔前に比べれば、アップル製品は市場に増えてきている。利用者の増大と共に、製品への攻撃や被害もまた増えるだろう。
iPhoneやMac、Apple Watchなどを利用しているなら、ソフトウェアのアップデートはもちろん、日頃からセキュリティーへの意識を高めておくことも肝心だ。今回の脆弱性について書かれたMcAfeeブログの「緊急!今すぐお使いのAppleデバイスをアップデートしてください」をぜひ読んでほしい。
緊急!今すぐお使いのAppleデバイスをアップデートしてください
最近、OS X、iOS、watchOS、およびtvOSにインパクトを与える複数の深刻な脆弱性が報告されました(英文)。
これらの脆弱性を悪用すると、全くユーザーが介入せずとも攻撃者は悪意のあるコードを実行することが可能である点で、StageFright(英文)と類似しています。
もはやクリックする必要すらない?
この脆弱性は、TIFFファイルの取扱い方法のバグが関係しています。TIFFとは、JPGやGIFのような画像フォーマットで、一般的にPhotoshopや他の画像編集ソフトウェアと関連付けられています。マルウェアの作者がこのバグを悪用すると、TIFFの画像を表示するときに悪意のあるコードを実行させることが可能です。写真が添付されたiMessageを受信する頻度を考えれば、このバグは非常に危険です。なぜなら、iMessageは自動的にファイルを開いて写真を見ることができるからです。画像にマルウェアが含まれていた場合、コードが実行され、デバイスのメモリや保存されているパスワードにアクセスされる可能性があります。
心配いりません。すでに対応済みです。
Appleはすでにこの脆弱性に対応しており、iOSとOS X向けに修正版をリリースしました。アップデートはすでに利用が可能です。iOSからこのアップデートを実施するには、設定 > 一般 > ソフトウェアアップデートをタップします。本アップデートは比較的小さなアップデートであり、ダウンロードの時間はさほどかかりません。OS Xをアップデートする場合は、お使いのMac上でAppストアを開き、ツールバーの中の[アップデート]をクリックします。
アップデートしないとどうなる?
何らかの理由でお使いのiOSデバイスを今すぐアップデートできない場合、iPhoneのiMessageをオフにして、MMSメッセージも無効にします。つまり、テキストメッセージのみ受信できる状態になりますが、システムの脆弱性を攻撃する感染したTIFFファイルを受信することもできなくなります。
このようなバグはめったに見つかるものではないですが、Appleの迅速な対応により、本件のリスクを最小限に抑えることができました。
コンシューマとモバイルに対するセキュリティ脅威の最新情報について、私とマカフィー公式Twitterのフォローと、マカフィー公式Facebookで「いいね!」のクリックをお願いします。
常にご注意くださいね!
※本ページの内容は 2016年7月21日更新のMcAfee Blogの抄訳です。