［世界］
重大なセキュリティ修正を含むiPhone 2.0/iPod touch 2.0アップデートが公開

Safariのバグ7件と、WebKitブラウザ・エンジンの3つの脆弱性に対応

（2008年07月14日）

　7月11日、米国Appleは同社製スマートフォンの最新機種「iPhone 3G」を華々しく発売した。それと同時に、初代iPhoneを利用しているユーザーに向けて、バグの修正を含む「iPhone 2.0」ソフトウェア・アップデート（米国Appleのサポート・ページ）が配布されている。

　iPhone向けのセキュリティ・アップデートが公開されたのは、2008年1月15日以来のこととなる。また、iPhone 2.0アップデートと同様の内容を持つ「iPod Touch 2.0ソフトウェア・アップデート」も、iPod Touchユーザー向けに提供されている。なお、今回、iPhone 3Gを購入したユーザーは、2.0ソフトウェアがプリインストールされた状態で販売されているため、何もする必要はない。

iPhone 2.0ソフトウェア・アップデートは、初代iPhoneに新機能の追加とセキュリティ修正をもたらす

　Appleによると、初代iPhoneやiPod Touchを利用するユーザーがダウンロード可能なiPhone 2.0/iPod touch 2.0アップデートには、Webブラウザの「Safari」やネットワーク接続用ソフトウェアにあるいくつかのバグを修正するものであることを明らかにした。ブラウザ関連のバグの中には深刻なものもいくつか含まれており、攻撃者がiPhoneに、悪意あるソフトウェアをひそかに送り込むこともできるという。

　今回公開されたiPhone 2.0/iPod touch 2.0アップデートは、Safariのバグ7件と、Safariのブラウザ・エンジン「WebKit」にある3つの脆弱性に対応している。3つあるWebKitの脆弱性のうちの1つは、Independent Security Evaluators（ISE）の研究者チャーリー・ミラー（Charlie Miller）氏が、2008年3月に開催され注目を浴びたハッキング・コンテストで優勝したときに用いたもので、Miller氏はこれを利用してAppleの薄型ノートPC「MacBook Air」に侵入した（関連記事）。

　Miller氏はこれまで、AppleがMac OS X向けの修正パッチを出しているが、同様にOS Xをベースにした初代iPhoneでの同じ問題点には対応していないことを批判してきた。Miller氏によれば、同氏はiPhoneも同じ攻撃に対して脆弱であるとAppleに警告したが、Appleはこれを否定したという。11日に行った電子メールによるインタビューの中でMiller氏は、問題の解決に長期間を要したことに対する憤りをあらわにした。

　「iPhoneを標的にした攻撃はまだ報告されていないが、iPhone 2.0のパッチをダウンロードする価値はある」と説明するのは、米国McAfeeのセキュリティ研究責任者を務めるデビッド・マーカス（David Marcus）氏だ。「悪だくみをする人間がどこに目をつけるかを考えたとき、間違いなくブラウザはリストの上位にくる。できるだけ早く更新すべきだ」とMarcus氏。

　上記のほか、iPhone 2.0アップデートでは、iPhoneで使われているMac OSのカーネル・ソフトウェアおよび「CFNetwork」ソフトウェアにあるネットワーク関連のバグも修正される。また、新機能としては、米国Cisco SystemsのVPN接続への対応や、米国Microsoftの「Exchange ActiveSync」への対応などがある。電子メールやコンタクト・リストの管理機能も向上しているとAppleはアピールしている。

　さて、11日に実際にiPhone 2.0アップデータをダウンロードした人の中には、大変な思いをした人もいた。Appleの「iTunes Store」を介したアップデート・ページに、初代iPhoneのソフトウェアを2.0に更新しようとするユーザーと、手に入れたばかりのiPhone 3Gのアクティベーションをしようとするユーザーが同時に殺到したためだ。なお、Appleの広報部門もてんてこ舞いだったようだ。筆者はこの件に関するコメントを求めて電話をかけたがだれも出ず、電子メールにも返信がなかった。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)