iPhone 3.0のSMSの脆弱性に対応した3.0.1をリリースとのこと。

米Appleは7月31日、iPhone OSの最新バージョンの3.0.1をリリースし、リモートからのコード実行につながる恐れのある脆弱性に対処した。

　公開されたセキュリティ情報によると、脆弱性はショートメッセージ（SMS）をデコードする際のメモリ破損問題に起因するもので、iPhone OS 1.0〜3.0に存在する。細工を施したSMSを使って悪用された場合、アプリケーションが終了したり、任意のコードを実行されたりする恐れがある。

Apple、iPhone OSの深刻な脆弱性に対処 - ITmedia エンタープライズ

詳細はBlackHatでの発表

ただしファイルサイズは300MB近くあります。対象は初代 iPhone / iPhone 3G / iPhone 3GSの全機種。この脆弱性はリモートからSMSを送ることで任意コードの実行が可能になるもの。つまり原理的にはGPSを起動して相手の位置情報を得る、連絡先やらブラウザのログイン・履歴を盗む、勝手に電話やメールを送る、マイクを起動して盗聴などなどあらゆる可能性があります。

発見者は PWN2OWNなどでも有名なセキュリティ専門家 Charlie Miller氏。同氏は1か月以上前にアップルに情報を提供して改善を求めたものの対応がなく、注意を喚起するためにハッカーカンファレンスでexploitの詳細を公開すると予告、実際にデモをおこなっています。

iPhone OS 3.0.1リリース、SMSの脆弱性を修正 - Engadget 日本版

関連記事

• iPhone OS 3.0.1 fixes SMS security issue
• The iPhone patch is out