AppleのiOS 12.1.4アップデートでLive Photosの脆弱性を修正

Appleは今回のアップデートで、AppleのiOS 12.1.4アップデートでLive Photosの脆弱性修正し、さらにFaceTime Bug Reporterが報奨金を受けて教育への対応についても見直しを行いました。

Appleはこの件に関して、顧客に謝罪を発表し、Group FaceTimeのバグとFaceTimeアプリのLive Photosに関する追加のセキュリティ脆弱性を見つけて修正したと述べました。

ソフトウェアアップデートでは、Group FaceTimeのセキュリティバグが修正されています。

報告されたバグに対処することに加えて、私たちのチームはFaceTimeサービスの徹底的なセキュリティ監査を実施し、セキュリティを向上させるためにFaceTimeアプリとサーバーの両方に追加の更新を行いました。これには、FaceTimeのLive Photos機能における、これまで未確認の脆弱性が含まれています。

最新のソフトウェアにまだアップグレードしていない顧客を保護するために、古いバージョンのiOSおよびmacOSに対してFaceTimeのLive Photos機能をブロックするようにサーバーを更新しました。

今後、Appleは、Live Photos機能は古いバージョンのiOSおよびmacOS上のFaceTimeでは利用できなくなると述べています。ライブ写真をキャプチャするには、iOS 12.1.4または新しいバージョンのmacOS 10.14.3が必要です。 Appleはまた、Group FaceTimeを以前のバージョンのiOSを実行しているデバイスから制限しています。

今朝リリースされたセキュリティ文書の中のAppleは、iOS 12.1.4およびmacOS 10.14.3補足アップデートで実装された特定の修正の概要を示しています。

Appleは、改善された状態管理によるGroup FaceTime呼び出しの処理に存在していたロジックの問題を修正し、Group FaceTimeテストはLive Photos問題の発見につながりました。 Appleは、Live Photosのバグは「FaceTimeサーバーでの検証の改善」で修正されたと述べています。

その他のFoundationおよびIOKitのバグもiOSで修正され、アプリケーションの特権の昇格につながる可能性があるメモリ破損の問題に対処しました。

アップルは、FaceTimeのバグを発見した人々の一人として、Catalina Foothills High SchoolのGrant Thompsonを挙げています。 Thompsonと彼の母親は、それが公開される前にそのバグについて会社に知らせるために、Appleと連絡を取ろうとしました。テキサス州アーリントンのDaven Morris氏もこの脆弱性を発見し、それをAppleに報告した人物として挙げられています。

Appleはこれらのメッセージを見逃していることをお詫びを述べ、今後のバグ報告が適切な人々に確実に配信されるようにそのバグ報告システムを改善することを誓いました。 Appleは、このバグの発見と報告に対してThompsonファミリーに報酬を与え、AppleはThompsonの教育に向けて追加の奨学金を提供する予定です。

今回のようなソフトウェアの脆弱性をついてアプリケーションの特権昇格を行うことができるようになるバグは極めて深刻です。

特権を得ることができれば、基本的にはソフトウェアの全権限を持ちフォルダの操作やファイルの追加、削除、変更などを行うことができます。

基本的にこのような権限関係についてはソフトウェア開発において念入りに品質がチェックされます。

Appleはアプリケーションのバグなどに対応してきましたが、今回のような権限昇格についての脆弱性は稀です。

ソフトウェアである以上、脆弱性やバグのないソフトウェアというのは存在しません。ソフトウェア会社に求められるのは、事前に脆弱性やバグを極力なくすプロアクティブな対応と、実際に問題が発生した場合に対応するリアクティブな対応の両輪が必要になります。

今回のAppleの対応は迅速なものでした。また、ユーザーに対するフォローもしっかりとしたものでした。

こうしたアフターケアがしっかりとしているからこそAppleにはファンがいるのだと考えられます。

ですが、キーボードの不具合に始まり、バッテリー問題、iPhoneのソフトウェアバグ、挙げれば枚挙にいとまがありません。製品自体のハード、ソフト面両方の品質低下がみられるのは間違い無いでしょう。

今後Appleが求められるのは既存の顧客に対する対応なのかもしれません。

Source:MacRumors

おすすめの記事