【注意】iOS9.2.1は、3年越しの脆弱性に対処した重要アップデート！

リリースされたばかりのiOS9.2.1は、ホテルやカフェのWi-Fiへの接続時に通信内容を盗み取られる可能性のある脆弱性に対応した、重要なセキュリティアップデートであることがわかりました。

iOS9.2.1は地味だが重要なアップデート！

iPhoneやiPad向けの最新OSとして、iOS9.2.1が20日にリリースされました。
 
アップデート内容が「セキュリティアップデートと、MDMサーバを使用している場合にAppのインストールを完了できないことがある問題などのバグ修正」と、新機能が盛り込まれたわけでもなく地味なものなので、あまり興味を持っていない方も多いことと思います。
 
しかし、ネットワークセキュリティ企業Skycureの研究者、Adi Sharabani氏とYair Amit氏によると、iOS9.2.1は、Wi-Fi接続時に通信内容を盗み取られる可能性のある脆弱性への対応が含まれた、重要なアップデートとのことです。

ホテルやカフェのWi-Fiで通信内容傍受の危険性

iOS9.2.1で対処された脆弱性は、ホテルやカフェの公衆無線LANが攻撃者に管理されている場合、接続時に表示されるログインページにおけるCookie処理のバグが原因です。
 
この脆弱性を悪用されると、接続したネットワークでやり取りする通信内容を傍受される可能性があります。
 
iOS9.2.1では、Cookieの保存領域を独立させることで、この脆弱性が解決されています。

不具合はauの留守電問題程度、早めにアップデートを！

iOS9.2.1の公開からほぼ1日が経過して、auユーザーの留守電に問題が発生するという不具合が分かっていますが、簡単に対処可能です。
 
まだiOS9.2.1にアップデートしていない方は、念のため端末のデータをバックアップした上で、早めにアップデートを適用することをお勧めします。

研究者はAppleに理解、姿勢を評価

Amit氏らは、この脆弱性を2013年6月にAppleに報告していましたが、3年近く経ってようやく対応が完了したことになります。
 
Appleから対応完了の連絡を受けたAmit氏は、彼らがAppleに報告した不具合の中で、対処に最も長い時間がかかったことについてSkycure社のブログで「我々が想像できる以上に複雑な問題だったのだろう」と理解を示すとともに、Appleの姿勢について「ユーザーのセキュリティに理解と強い関心を持ち、責任ある対応だ」と評価しています。

 
 
Source:Mashable, Skycure
(hato)