セキュリティグループが報告したiOS純正メールアプリの脆弱性について、Appleが「緊急性はなく、ユーザーをただちに脅威にさらすものではない」とコメントしました。
セキュリティ研究者が脆弱性を発見と報告
ZecOpsは先日、iOS13/iPadOS13の純正メールアプリに、2つの脆弱性が見つかったと報告しました。しかもそのうちのひとつは遠隔でのゼロクリック・エクスプロイト(ユーザーが全く操作しない状態での攻撃)を可能にする、非常に深刻なものです。
しかしAppleは報告に対し、脆弱性が存在することは認めたものの、iPhoneとiPadのセキュリティ機能をかいくぐって、この脆弱性を突くのは難しいのではないか、と述べています。
Appleは、ZecOpsがiOS6から存在すると主張する脆弱性は、ただちにユーザーの脅威となるものではないとしつつ、近くOSアップデートで対処すると説明しています。ZecOpsも、Appleが現在開発者向けに公開中のiOS13.4.5ベータで、脆弱性を修正していることを認めています。
Appleの正式コメント
The Vergeが受け取った、Appleからの正式コメントは以下のとおりです。
Appleはセキュリティ脅威に関するすべての報告を真剣に受け止めています。研究者の報告書、そして提供された情報をくまなく調査した結果、これらの問題は当社のユーザーをただちに脅威にさらすものではないと判断しました。研究者は「メール」に3つの問題があると指摘していますが、単独ではiPhoneとiPadのセキュリティ保護を迂回することはできず、また当社のユーザーに対して悪用されたという証拠も見つかっていません。これらの脅威となる可能性のある問題については、近くソフトウェア・アップデートで対処いたします。セキュリティ研究者と協力してユーザーを守ることは重要だと考えており、彼らの支援には心より感謝しています。
Source:The Verge
(lunatic)
- Original:https://iphone-mania.jp/news-285305/
- Source:iPhone Mania
- Author:iPhone Mania