Cherry & Lotus™

Daily life record scribble !!

iPod TouchとiPhoneに搭載されているSafariに脆弱性

with 2 comments

先週末に1200円払って新しいファームウェア(Version 2.0)にバージョンして、色んなアプリケーションがインストール出来る様になった我が家のiPod Touchについて、ちょっと気になるニュースが目に入った。

JVNDB-2008-000039 – JVN iPedia – 脆弱性対策情報データベース から引用

iPod touch および iPhone に搭載されているウェブブラウザである Safari には、サーバ証明書が不正に受け入れられる脆弱性が存在します。

Apple が提供する iPod touch および iPhone には、ウェブブラウザとして同社が提供する Safari が搭載されています。iPod touch および iPhone 搭載のSafari には、SSL/TLS 接続時に、ユーザが許可していないのにもかかわらず、証明書を受け入れてしまう脆弱性が存在します。

まぁ、これだけなら、別になんて事ない。ソフトウェアの脆弱性というのは、良くある話だよね。

JVNのページには、「ベンダが提供する情報をもとに最新版へアップデートしてください」とだけ書いてあるだけで、具体的にどのバージョンすれば良いとは書いていないが、About the security content of iPhone v2.0 and iPod touch v2.0を見る限りでは、バージョン2.0にて本脆弱性が解消されているらしいよ。

ん、ちょっとまてよ。バージョン2.0と言えば、先週末にApp Storeに対応させる為に、有償でファームウェアアップデートをしたではないか。つまり、本来であればAppleは、脆弱性を含んだソフトウェアを改修する為に、無償で提供すべきものを、iPhoneの発売にあわせて、どさくさにまぎれて、有償でアップデートさせたことになる。

仮にApp Storeに対応しなくても良いと言うユーザがいた場合、お金を払わない限り、脆弱なバージョンのソフトウェアを使い続けなければいけない事になる。2.0に付加価値をつけて、どうしても有償で提供したいのであれば、そう言ったユーザ向けに、1.1.5なり、脆弱性の内在しないソフトウェアを提供する必要があるのではないだろうか。

明日、Appleに問い合わせてみよう。

関連記事

Written by hamasaku

7月 15th, 2008 at 2:28 am

Facebook comments:

Leave a Reply