Apple Insiderの情報によると、Appleは先週金曜日にいわゆる”アプリ間リソースアクセス(XARA)”の重大なセキュリティホールについて認め、今週既にサーバ側でセキュリティアップデートを公開し、現在スタッフがこの問題について研究し、セキュリティパッチをリリースする予定だという。
Appleは声明の中で、XARAの重大なセキュリティホールは悪意のあるソフトウェアに利用され、OS XとiOSのオペレーティングシステムを攻撃されてしまうという。悪意のあるソフトウェアは防御システムのSandboxのアプリ間通信のデータを盗み出すことができ、そこにはパスワードや権限付与のためのパスワードなど重要な情報も含まれるとのこと。
実は既に昨年、インディアナ大学とジョージア理工学院と北京大学の6人の研究グループがXARAセキュリティホールを発見していた。昨年10月、彼らは既に発見した結果をAppleに提出していたが、ずっとAppleから反応がなかったという。セキュリティ研究グループは先週このセキュリティホールXARAの存在を公開した。App Storeでダウンロードされた悪意のあるソフトウェアによって、キーチェーンデータボックスとBundle IDにアクセス可能となってしまうという。その他の攻撃にはWebSocketsとURL Schemesがあるという。
画蛇添足 One more thing…
Appleは半年以上もXARAの存在を知っておきながら放置していたことになる。最近OS XやiOSのセキュリティ関係についてAppleが槍玉に挙げられている。AppleとしてはライバルOSよりも安全なOSであることを強調したいが為に騒がないようにしているようだが、このような放置は逆効果だ。しかもOS XやiOSは実際にセキュリティが特別強固で安全というわけでもなく、過去のウイルス感染報告データが少ない(もともとウイルス対策ソフトをインストールしている人が圧倒的に少ない)のと、シェアがあまり大きくないこと、またAppleのOS用の攻撃ツールのコストが高くつくというだけの理由でセキュリティが優れているということはいえないと思う。
多くのMacやiPhone・iPadが悪意のあるソフトウェアに攻撃される前に、早めにセキュリティパッチが出ることが望まれる。
記事は以上。
(記事情報元:Apple Insider)