iPhoneのメールアプリの脆弱性を狙うゼロクリック攻撃についてまとめてみた - piyolog
2020年4月22日、iPhoneの標準メールアプリに脆弱性が発見され、さらに悪用した標的型攻撃が既に発生していたとして北米のサイバーセキュリティ企業ZecOpsが調査結果を公開しました。その後、AppleはZecOpsが報告した悪用の事実はないとして一部否定する見解を示しています。(4/26 追記)ここではこの脆弱性に関連する情報をまとめます。 何が見つかったの? 影響を受けるiOSの標準メールアプリ iPhoneやiPadが影響を受ける脆弱性が報告された。脆弱性が確認されたのは標準のメールアプリ(Mobilemail/Maild)。 脆弱性悪用によりメール内容の流出や変更、削除が行われる恐れがある。また他の脆弱性を組み合わせた攻撃によりデバイスをのっとられる可能性がある。 4月23日時点でゼロデイ(修正方法がない)状態。13.4.5で修正見込み。(ZecOpsが13.4.5β版で修正確
iOSのWKWebViewでURLを扱う際に注意すべき脆弱性
サイバーセキュリティエンジニアリング部の西村です。先日、PacSec 2016というセキュリティカンファレンスでiOS版Firefoxの脆弱性に関する講演をしてきました。 iOS版FirefoxはWebページの表示にiOSのWKWebViewを使用しており、講演の中で紹介した脆弱性はいずれもWKWebViewを利用するiOSアプリで発生しうるものです。この記事では、iOS版Firefoxの脆弱性事例を元に、WKWebViewでURLを取り扱う際に注意すべきポイントを紹介します。 URLのuserinfoフィールドを考慮する WKWebViewでは、urlというプロパティを用いて、現在表示しているWebページのURLを取得できます。しかし、urlプロパティの値を表示するとき、注意すべき点があります。それは、URLのuserinfoというフィールドです。 URLの仕様を定めるRFC 3986で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
