DER 権利：サイキック・ペーパーが（一時的に）帰ってきた

- プロジェクト・ゼロの研究者、Ivan Fratricが、Appleのメール・アプリにあるXMLパーシングの脆弱性CVE-2022-42855を発見しました。 - これらの脆弱性は、作成されたメールを通じて、脆弱なデバイス上で任意のコードを実行することを許可する可能性がありました。 - Appleは、iOS 15.7.2とmacOS Monterey 12.6.2でこの脆弱性を修正しました。 - その脆弱性に関するハードニングの変更は、iOS 16.2とmacOS Ventura 13.1に含まれました。 - Fratricの研究は、XMPPベースのアプリケーションでのXMLパーシングの特異性とそれらのセキュリティー上の影響に焦点を当てています。 - 他のXMLパーシングの脆弱性の例として、Appleのメール・アプリにある脆弱性Psがあります。 - Psは、悪意のあるXML添付ファイルが含まれるメールを送ることで、脆弱なデバイス上で任意のコードを実行することを許可しました。 - Appleは、macOS Catalina 10.15.7とiOS 13.7でPsを修正しました。 - Fratricは、XMLパーシングとバリデーションの注意深い実施が、こうした脆弱性を防ぐために重要であると強調しています。