Appleは今週、iOSのアップデートをリリースしました。iOS 4.3.2は、iOS 4.3のリリースから数週間で2回目のiOSのアップデートとなります。他のアップデートと同様に、iOS 4.3.2には細かな調整や修正が含まれていますが、iPhoneやiPadのセキュリティにとっても重要なアップデートです。
iOS 4.3.2への注目は、主にFaceTimeビデオチャットと3G接続の修正に集中しています。FaceTimeチャットがフリーズする問題が報告されており、特にヨーロッパのユーザーからはiPadタブレットから3Gネットワークに接続できないという苦情が寄せられています。iOS 4.3.2は、これらの問題の両方に対処しています。
しかし、iOS 4.3.2には、その裏では様々なセキュリティアップデートも含まれています。中でも最も重要なのは、不正なComodo SSL証明書のブラックリスト化です。Appleのサポートサイトには、「Comodo傘下の登録機関によって、複数の不正なSSL証明書が発行されました。これにより、中間者攻撃者が接続をリダイレクトし、ユーザーの認証情報やその他の機密情報を傍受する可能性があります。この問題は、不正な証明書をブラックリスト化することで解決されます。」と説明されています。
簡単に言えば、iPhone、iPod Touch、iPadはSSL証明書を利用して、モバイルデバイスからアクセスするウェブサイトの信頼性を検証し、安全で暗号化された接続を提供しています。Comodo社の不正なSSL証明書を利用することで、攻撃者は正規のウェブサイトを偽装した悪意のあるサイトを作成し、ユーザーの機密情報を漏洩させ、ユーザー名、パスワード、アカウント情報などの重要なデータを取得する可能性があります。
iOS 4.3.2では、その他のセキュリティ上の懸念事項にも対処しています。WebKitの脆弱性2件が修正されています。これらの脆弱性を悪用されると、アプリが予期せず終了したり、攻撃者がデバイス上で悪意のあるコードを実行したりする可能性があります。さらに、iOS 4.3.2では、Microsoft Officeファイルを閲覧する際に攻撃者が同様の悪意のある操作を行う可能性があるQuickLookの脆弱性も修正されています。
FaceTimeや3G接続に問題がある場合は、当然ながらこのアップデートを適用する必要があります。しかし、これらの問題が発生しておらず、Appleからの600MBを超える巨大なアップデートは必要ないと考えているなら、考え直してください。セキュリティアップデートは非常に重要ですので、iPhoneやiPadに必ず適用してください。
