米Appleが7月18日に公開したiOSやOS Xの更新版で修正した脆弱性の一部は、ユーザーがメッセージなどを受信しただけで何も操作しなくても悪用される恐れがあることが分かった。この問題を発見した米Ciscoのセキュリティ部門Talosがブログで明らかにした。

Talosによると、同社は今回、画像フォーマット処理に関するリモートコード実行の脆弱性5件を発見してAppleに報告した。

このうち画像フォーマット処理用のAPI「Image I/O」でのTIFF画像解析・処理に存在する脆弱性（CVE-2016-4631）は、攻撃者がiMessageやMMSなどに不正なファイルを添付したり、Webページに仕込んで開かせたりする手口で悪用できるという。

iMessageのようなアプリケーションでは初期設定で、メッセージを受信すると自動的に画像を処理する状態になっていることから、ユーザーが何も操作しなくても悪用される恐れがあるとTalosは解説している。

この脆弱性はOS X 10.11.5とiOS 9.3.2で確認され、それより前のバージョンにも存在すると思われることから、相当数の端末に影響が及ぶ見通し。

脆弱性を報告したTalos

「画像ファイルは受信者に不信感を持たれずにWebやメールを介して簡単に配信できることから格好の攻撃経路であり、AppleのCore Graphics APIやScene KitやImage I/OはApple OS Xプラットフォーム上のソフトウェアで広く使われているために危険度が高い」とTalosは指摘し、iOSやOS Xをまだ最新版に更新していない場合は対応を急ぐよう呼び掛けている。