Sponsored Contents

comexの最新記事

Image credit:
Save

JailbreakMe の手法は iPhone のPDF表示脆弱性、対策は要脱獄

Ittousai, @Ittousai_ej
2010年8月4日, 午後03:22 in Comex
0シェア
0
0,"likes":0
0

連載

注目記事

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待
12

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待

View

iPhone や iPod touch からアクセスするだけで脱獄を実現する JailbreakMe の手法が分かりました。セキュリティ企業 F-Secure によると、JailbreakMe が利用しているのは iOS Safari に含まれる PDF表示部分の脆弱性であるとのこと。具体的にはPDFファイルに加工したフォントデータを仕込むことでCompact Font Format ハンドラをクラッシュさせ、埋め込まれたコードを実行するという方法です。実際に JailbreakMe.comのルートには iPad1,1_3.2.1.pdf など、各デバイス向けのexploit PDFファイルが並んでいます。

アップル製品の脆弱性発見で有名なセキュリティ研究者 Charlie Miller 氏のコメントは「Very beautiful work. Scary how it totally defeats apple's security architecture. 」(実によくできている。アップルのセキュリティアーキテクチャを完全に破ってしまうのが恐ろしい)。ブラウザからアクセスするだけでJailbreakまで可能にする脆弱性はアップル非公認ソフトウェアを動かすことに興味がなくても、個人情報の塊である携帯電話のセキュリティ上の問題です。iOS の Safari は PDFをシームレスに扱う(いきなり開いてしまう)ため、悪意のあるリンクを踏んだだけで、リンク先がなにかも分からないうちに任意コードを埋め込まれる可能性もあります。

アップルはこの脆弱性に対するパッチを提供していないため、ユーザーとしてできる対策は添付ファイルなどのPDFを開かない、Safari やそのほかのアプリで信頼できるリンクしか踏まないことくらいしかありません。できれば苦労はしませんが。なお脱獄ユーザーであれば、非公式 App Storeにあたる Cydia から、PDF読み込みの前に警告ダイアログを表示するPDF Loading Warner をインストールして身を守ることができます。

TUAW
source F-Secure

広告掲載についてのお問い合わせは ad-sales@verizonmedia.com までお知らせください。各種データなどは こちら のメディアガイドをあわせてご覧ください。

0シェア
0
0,"likes":0
0

Sponsored Contents