スマートフォン向けの最新の小さなアップデートでiOS15.2.1およびiPadOS15.2.1タブレット、Apple開発者は、昨年夏に特定されたHomeKitプラットフォームの脆弱性を部分的に修正しました。
アップデートのデータシートでは、Apple新しいビルドは、攻撃者がHomeKitデバイスの特定の名前を作成することにより、iPhoneとiPadの無効化につながる条件を作成できる問題を修正すると報告しています。 Appleは、入力手順の検証を改善することで、リソースの枯渇の問題に対処したと述べています。
AppleHomeKitの脆弱性が明らかにされました。2021年8月にAppleに報告されました。識別された脆弱性は「doorLock」と呼ばれ、その動作原理は、攻撃者がHomeKitデバイスの名前を500,000文字を超える文字列に変更する可能性があるというものでした。
で大きな文字列デバイスをロードしようとすると脆弱なバージョンのiOSは、サービス拒否(DoS)状態になります。この状態から抜け出す唯一の方法は、強制的な再起動であり、保存されているすべてのデータが削除され、バックアップが存在する場合にのみ復元できます。デバイスが再起動し、ユーザーがHomeKitデバイスに関連付けられているiCloudアカウントに再度ログインすると、エラーが再トリガーされます。
アップデート15で。1は、HomeKit問題の部分的な解決策を提案しました。次に、Apple開発者は、HomeKitプラットフォーム上のデバイスまたはアプリケーションに設定できる名前の長さに制限を導入しました。ただし、攻撃者は、デバイスプロンプトではなく、ホームプロンプトを使用して攻撃を誘発することにより、この脆弱性を悪用し続ける可能性があります。
HomeKitの「doorLock」の問題を修正することに加えてiOS15.2.1およびiPadOS15.2.1のアップデートでは、メッセージで送信されたiCloudリンクとしての写真の読み込みに失敗する可能性がある問題が修正されました。さらに、サードパーティのCarPlayアプリが入力に応答しなくなるバグが修正されました。
ソース:macrumors
