米Appleは1月12日(現地時間)、iOSおよびiPadOSのアップデート「iOS 15.2.1」「iPad OS 15.2.1」の配信を開始した。iOS/iPadOSデバイスが反応しなくなる可能性があるHomeKitのサービス脆弱性を修正する。
問題の脆弱性は、1月1日にセキュリティ研究者のTrevor Spiniolas氏が公表したもの。HomeKitデバイスはユーザーが任意の名称に変更できるが、長すぎる文字列に変更すると「ホーム」アプリやiOS/iPadOSデバイスの動作に不具合が生じる可能性がある。名称変更はiCloudを通じて同期されるため、同じアカウントで利用している他のiOS/iPadOSデバイスにも問題が広がる可能性がある。
Spiniolas氏は昨年8月にその問題をAppleに報告。iOS 15/iPadOS 15のアップデートで、ユーザーが変更できるHomeKitデバイスの名称の長さに制限が導入されたが、それより前のバージョンには不具合の可能性が残されたままであり、また制限後のバージョンでも大きな文字列を持つHomeKitデバイスを含むHomeへの招待を受け入れると不具合が発生する可能性が確認された。HomeKitアクセスの招待状を使って、その脆弱性を利用した攻撃が広がる可能性があり、Appleの迅速な対応を促すためにSpiniolas氏は1日に脆弱性を公表した。レポートでSpiniolas氏は、バグによって以下のような問題が起こる可能性を指摘していた(バグの検証ではHomeKitデバイスを50万文字の名称に変更)。
- コントロールセンターで有効な「ホーム」デバイスがない場合:「ホーム」アプリが全く使用できなくなり、起動時にクラッシュする。デバイスを再起動したり、復元しても、iCloudにサインインし直すとアプリは再び使用できなくなる。
- コントロールセンターで有効な「ホーム」デバイスがある場合:iOS/iPadOSが無反応になり、全ての入力が無効または非常に遅い状態になる。再起動して問題解決を試みるも、正常な動作を保てずに再起動を繰り返す。リカバリーまたはDFUモードでしかUSB通信が機能しなくなり、デバイスを復元しても以前使用していたiCloudにサインインし直すと再びバグが発生するため、最悪の場合データを失う可能性がある。
iOS 15.2.1/iPad OS 15.2.1ではまた、以下のような問題の修正が行われた。
- 「メッセージ」でiCloudリンク経由で送信された画像を読み込めないことがある問題
- サードパーティ製CarPlay対応アプリで入力に反応しないことがある問題
