iOS9.3.3やOS X 10.11.6よりも前のバージョンに、MMSなどを受信するだけで端末のパスワードなどを盗まれる脆弱性があることが判明。
Cisco TalosやForbesが報じており、日本語ではGIGAZINEやiPhone Maniaが参考になるかと。
要点を抜き出してみると、
- Androidで話題となった「Stagefright」と同様の脆弱性
- iOSやOS X、tvOS、watchOSの古いバージョンが対象
- iOS9.3.3やOS X 10.11.6など最新バージョンでは修正済み
- MMS・iMessageでTIFF形式ファイルを受信したり、感染したSafariのウェブページなどに仕込まれたTIFFファイルから端末のパスワードや各種認証情報などを抜き取ることが可能に
- イメージデータを扱うクラス「ImageIO」に含まれる脆弱性を悪用
- Appleのセキュリティ機構sandboxによって、iOSの場合は脱獄していなければ端末全体を乗っ取られる可能性は低い
- ただし、OS Xではsandboxでも防御できない
したがって、iOS9.3.2やOS X 10.11.5を含む前のバージョンのOSを利用している場合は、この脆弱性を悪用される可能性があります。でるだけ最新バージョンにアップデートしておく方が無難です。