Apple Releases Critical iOS and iPadOS Updates to Fix VoiceOver Password Vulnerability
2024/10/05 TheHackerNews — Apple がリリースした、iOS/iPadOS に対するアップデートにより、2つのセキュリティ問題が対処された。そのうちの1つは、ユーザーのパスワードが、VoiceOver アシスタント技術により読み上げられる可能性があるというものだ。この脆弱性 CVE-2024-44204 は、多数の iPhone/iPad に影響を及ぼす、新しいパスワードアプリのロジックの問題だと説明されている。この脆弱性を発見/報告したのは、セキュリティ研究者 Bistrit Daha である。
今週にリリースしたアドバイザリで Apple は、「ユーザーが保存したパスワードが、VoiceOver により読み上げられる可能性がある。すでに検証は完了し、改善されている」と記している。
この欠陥は、以下のデバイスに影響を及ぼす:
- iPhone XS and later
- iPad Pro 13-inch
- iPad Pro 12.9-inch 3rd generation and later
- iPad Pro 11-inch 1st generation and later
- iPad Air 3rd generation and later
- iPad 7th generation and later, and
- iPad mini 5th generation and later
Apple は、最新の iPhone 16 モデル固有の、セキュリティ脆弱性 CVE-2024-44207 も修正している。この脆弱性により、マイク ・インジケーターが ON になる前に、音声がキャプチャされ始める可能性があるという。この問題は、Media Session コンポーネントに起因するという。
Apple は、「マイク・インジケーターがアクティブになる前に、数秒間の音声メッセージがキャプチャされる可能性がある。この問題は、すでに修正された」と述べている。
Apple は、報告者の Michael Jimenez と匿名の研究者に対して謝意を示している。ユーザーに対して推奨されるのは、iOS 18.0.1/iPadOS 18.0.1 へとアップデートし、潜在的なリスクからデバイスを保護することだ。
iOS/iPadOS の VoiceOver アシスタントが、パスワードを読み上げてしまう可能性があるとのことで、その原因となる脆弱性にパッチが適用されたようです。このように、ユーザーの利便性を高める機能が導入されるにつれて、攻撃面積は広がっていきます。ちょうどいま、Microsoft では Recall の取り扱いを巡って、さまざまな議論が展開されているはずです。ここでも、争点となるのは、攻撃面積の拡大です。よろしければ、Apple で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.