iOS 8にアップデートせず、iOS 7.1.2以下に存在するPDF関連の脆弱性を修正 [JBApp]

(37)

以前【SafariでPDFを開いた際に任意のコードが実行出来てしまう】という危険な脆弱性が報告されていました。
この脆弱性自体はiOS 8.0で修正済みなのですが、iOS 7.1.2以下では放置されている状態。

そこで、脱獄環境の場合は今回の『CVE-2014-4377-Fix』をインストールすると、一部修正する事が可能となっています。

スポンサーリンク

詳細情報

CVE-2014-4377-Fix

Price(価格): 無料
Section(カテゴリ): Tweaks
Author(制作者): @feliam
Repo(配布元): 【feliam/CVE-2014-4377-Fix · GitHub】

インストール

Cydiaからではなく、debファイルが直接配布されています。
Safariで【feliam/CVE-2014-4377-Fix · GitHub】にアクセスし、画面中腹にあるdebファイルのダウンロードリンクをタップ。

jbapp-cve-2014-4377-fix-02

iFileで開き、そのままインストールを行ってください。また、インストール後はリスプリングが必要です。
ちなみにアンインストールしたい場合はCydiaより【CVE-2014-4377-extra】を削除してください。

jbapp-cve-2014-4377-fix-03jbapp-cve-2014-4377-fix-04

確認してみる

今回の脆弱性はこちらのページ【Demo】から実際にサンプルを実行する事が可能になっていますので、修正パッチを適用する前に試してみました。
サンプルを実行するといくつかのアラートが表示された後、脆弱性があるためSafariがクラッシュ!
*サンプルページが不完全なため、一部環境でクラッシュしなかったり、逆に意図せずクラッシュしたりも起こるようです

jbapp-cve-2014-4377-fix-05jbapp-cve-2014-4377-fix-06

修正後…

CVE-2014-4377-Fix』をインストールし、脆弱性を修正した状態で再度サンプルを実行してみます。
すると、今度はアラートが出た後もSafariはクラッシュせずに白い画面で止まります。

jbapp-cve-2014-4377-fix-07

不具合について

現在リリースされている【v0.0.1-2】ではSafariや一部アプリでクラッシュを引き起こす現象が報告されています。
毎回全ての状況で発生するわけではありませんが、よく使う物で発生する場合はいったんアンインストールし、修正されるまでお待ちください。

今回の物は脆弱性を報告した方が作成した物になり、Cydia作者Saurik氏からも「不具合はある物の、有効である」とされています。
ただし、コレまでの修正パッチ同様、あくまでもCydiaSubstrateアドオンですので、完全な修正ではありません。この点にはご注意ください。

ちなみに、Saurik氏がより踏み込んだパッチ作成も予定しているそうなので、そちらを待ってもイイかもしれません。

コメント

  1. これはありがたい

  2. とりあえず入れとくか

  3. 全く関係ないですが、JailbrokeniOS7.0.6のiPhone5sたまにポップアップが表示された際にタップ全般が効かなくなり、確認をタップすることも電源を切ることもできなくなります。
    このようにポップアップ画面にて画面に触れなくなるバグが報告されているTweakもしくは原因はわからないけどその解決方法(ポップアップ画面を強制的に閉じる方法など)ありましたら教えてください。

    • セーフモードで大丈夫、という状況ならばCydia Substrate系の脱獄アプリが原因になっているかと思います。
      iCleaner Proなどから気になる物をオフにしつつ確認してみてください

  4. iphone6PlusでDemoページのやつタップしたらsafari落ちたが対策済みなのだろうか…

  5. iPod touch 5のiOS8.1 Beta2でDemoページのやつやったら、ダイアログが消えずにOKを何度タップしても消えずにループしましたw

  6. Saurik氏からのを待とうかな〜
    私の場合あまりそのようなケースは無いけど。

  7. 入れてみたのですが、ヤフオクや価格comのページを見ると、落ちるようになってしまいました。。。

  8. 入れたところ
    Demoでクラッシュしなくなりましたが
    Wikipediaを開こうとするとクラッシュするようになりました。

  9. 不安定報告が多いですね
    まあ3台持ちにしたからいい?んですが

  10. 対策しないより今リリースされてるのを入れるべきと思う
    Saurik氏がリリースしたら一度削除してそれを入れる方がいいかな
    入れないでやられる前にね(´・ω・`)

  11. 私もインストールしてみたのですがChromeで特定のサイトでクラッシュ、
    2chまとめサイトでも幾つかクラッシュしました。
    アンインストールして再度開いてみると普通に見れました。
    一応報告です。

  12. 特定のサイトが見れないのは辛い。
    日本語関連の処理に問題があるなかな?

    価格コムが、落ちるのは確認しました。
    とりあえず、正しい対処法方なのかはっきりしないため、削除しました。

    iPhone4S iOS7.1.2 Jailbreaking

  13. 返信なのですがポップアップで固まるなら、activatorのボリューム上下同時押しなどハードウェア系の操作にrebootなどを当てはめれば良いのではないでしょうか?

  14. 感謝です

  15. これ入れたらappstoreのアップデート画面からアップデートできなくなりました。(詳細画面からはできました)

  16. xvideosがクラッシュしてしまって見れません….(T . T)

    • マジっすか⁈ そりゃ困った (泣)

  17. Sleipnirでクラッシュ多発したので消しました…

    iPhone5S(iOS7.1.2)

  18. >>全く関係ないですが、JailbrokeniOS7.0.6のiPhone5sたまにポップアップが表示された際にタップ全般が効かなくなり、確認をタップすることも電源を切ることもできなくなります。
    このようにポップアップ画面にて画面に触れなくなるバグが報告されているTweakもしくは原因はわからないけどその解決方法(ポップアップ画面を強制的に閉じる方法など)ありましたら教えてください。

    PMPじゃない?

  19. これ入れると10年日記ってアプリが落ちます

  20. これ入れてから再起するとfilpswichのトグルが見えなくなりました
    activatorのトグルは問題ないです

  21. すみません、全く関係なくて申し訳ないのですが、
    アプリをApp Storeからアップデートしようとアップデートボタンをタップしても、そのアプリが起動するだけでアップデートできないという珍事にみまわれております。
    すべてアップデートもタップできません。
    再起動してみたり、セーフモードでも試しましたがダメでした。
    解決策がありましたら教えていただけますか。

    • アプリの画像部分をクリックして、その後アップデートをクリック

  22. 私もみくさん同様の症状に見舞われています。Store側の問題なのでしょうか?

  23. iOS7.1.2の環境でこれを入れましたが、Amebaブログを開こうとしたとき、Safariが必ずクラッシュすることに気づきました。

    Wikipediaを開こうとしてもクラッシュするようです。

  24. Xvideo見れない…クラッシュしますね…

  25. filpswichのトグルが消える。

    これ、私もなりました。CCTogglesで消えます。
    かなり怪しいなぁ

    iPhone4S iOS7.1.2 Jailbreaking

  26. このアプリをアンインストールすると,App Storeからアップデートできましたが,アップデート後は,「アップデート」表示から「開く」表示に変わるはずなのに,「アップデート」表示のままです。したがって,これをタップするとアプリが起動する状態です。不思議です。このアプリの影響なのでしょうか。皆さんどうですか。

  27. アンインストール後に再起動しましたか?

  28. AppStoreのこと、みなさんも同じで安心しましたw
    アップデート対象のアプリの詳細ページからアップデートはできますが、アプデしてもアップデートされた項目には行きますが表示は「アップデート」のままですね。
    私はStoreの問題だと思っているのですが…

    • アップデートのボタンをクリックでなく、アプリの画像部分をクリック
      その後表示されるアップデートをクリック

  29. あーやっと分かった・・・
    FlipswitchのアイコンやActivatorのRespring or セーフモード等のアイコンが消えたと思ったらこいつが原因だったのか・・・

    半日かかってやっと分かった・・・

    これは地雷ですわヨカッタヨカッタ

    ちなみにCVE-2014-4377-Fixを削除してRespringではなく再起動したら元に戻りました。

  30. 不具合多いからインストールしない!

  31. 小説家になろうを開こうとすると必ずクラッシュするので速攻で消しました

  32. 皆さんいっているように幾つかのwebページみると落ちるようになったのでアンインストールしました。その後でもflipswitchトグルのアイコンが消えたままので、flipswitch再インストールしたら治りました。

  33. iPadAirとiPhone5S共にiOS⒎⒈2
    iiPhone5Sで楽天アプリでのログイン不可能(クラッシュ)、Shufoo!クラッシュ、オートバックスアプリでクラッシュ
    iPadAirでShufoo!クラッシュ、オートバックスアプリでクラッシュ
    アンインストールして再起動すればいずれもクラッシュしないのでこれが原因かと