米Ciscoのセキュリティ部門Talosによると、米Appleが7月18日に公開したiOSやOS Xの更新版で修正した脆弱性の一部は、ユーザーがメッセージなどを受信しただけで何も操作しなくても悪用される恐れがあること報告しています。

画像フォーマット処理に関するリモートコード実行の脆弱性5件を発見してAppleに報告しており、このうち画像フォーマット処理用のAPI「Image I/O」でのTIFF画像解析・処理に存在する脆弱性（CVE-2016-4631）は、攻撃者がiMessageやMMSなどに不正なファイルを添付したり、Webページに仕込んで開かせたりする手口で悪用できるとのことです。

iMessageのようなアプリケーションでは通常は、メッセージを受信すると自動的に画像を開く設定になっています。つまり、ユーザーが何も操作しなくても勝手に悪用される恐れがあということです。

この脆弱性はOS X 10.11.5とiOS 9.3.2で確認され、それより前のバージョンにも存在すると思われることから、相当数の端末に影響が及ぶ見通しです。

「画像ファイルは受信者に不信感を持たれずにWebやメールを介して簡単に配信できることから格好の攻撃経路であり、AppleのCore Graphics APIやScene KitやImage I/OはApple OS Xプラットフォーム上のソフトウェアで広く使われているために危険度が高い」

とTalosは指摘しています。

アップルのアップデートは比較的簡単にできます。速やかにアップデートを行いましょう。