4月24日に発売が開始される Apple Watch にあわせて、iOS 8.2がリリースされた。(開発者向けには既に 8.3 βも用意されている)毎度毎度悩ましいのは、 iOS のアップデートを当てるべきかどうか?という問題である。
エンタープライズの世界では、多くの iOS デバイスが広い範囲で利用されており、これらを統合的にアップデート管理ができないことから、毎度毎度 iOS がアップデートされる度に持ち上がるのは「アップデートすべきなのか?」という問いなのだ。
実際には MDM ベンダーからのサポート状況などを勘案する必要が最低限はあるにせよ、今回の iOS 8.2 はなべくなら当てた方が良いと判断するに足る、バグ修正や、セキュリティアップデートが多く含まれている。
- CoreTelephony 問題
リモート攻撃者が予期せぬリスタートを発生できてしまう可能性(SMSでの Nullポインタ参照脆弱性)
CVE-2015-1063 : Roman Digerberg, Sweden - iCloud Keychain 問題
特権的ネットワークにある場合に任意のコードが実行されてしまう問題(バッファーオーバーフロー脆弱性)
CVE-2015-1065 : Andrey Belenko of NowSecure - IOSurface 問題
悪意のある app が任意のコードを実行できる可能性(変数の型オーバーフロー脆弱性)
CVE-2015-1061 : Ian Beer of Google Project Zero - MobileStorageMounter 問題
悪意のある app が信頼されたシステムエリアにフォルダーを作成できてしまう可能性(削除中のディスクマウント脆弱性)
CVE-2015-1062 : TaiG Jailbreak Team - Secure Transport 問題
SSL/TLS 通信を第三者に傍受されてしまう可能性(TLS/SSLプロトコルに1990年代米暗号輸出規制に起因する脆弱性。FREAK問題として有名)
CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, and Jean Karim Zinzindohoue of Prosecco at Inria Paris - Springboard 問題
iOS のホーム画面を司る MacOSX の Finder に相当する Springboard がアクティブではないときに表示されてしまう問題(非アクティブなデバイス操作の脆弱性)
CVE-2015-1064
5. の FREAK 問題は Safari やその他のブラウザでの SSL 通信やメール通信が傍受されてしまう危険性があるわけで、512ビット暗号鍵は現在では7時間程度で復号化ができてしまうということであるから、やはり iOS 8.2 は当てておいた方が安心だという結論だ。また、3. や 4. は Apple TV や MacOSX にも共通するセキュリティ問題であるから、同様に対象デバイスの OS もアップデートされることをお勧めする。
今回のアップデートは 8.1.3 にアップデートしている方なら、そんなに時間がかからずに容量も多くを要求されずに完了する筈である。その他、 Apple Watch への対応や、Health Kit のアップデート、さらにはメール、カレンダーを含む多くのバグが修正されている。なので、「当てるべきですか?」と聞かれたら、「MDMベンダーに確認の上、なるべく早く当てた方が良いですよ」というのが私の回答である。