今日6月18日、iPhone OS 3.0がリリースされました。 モバイル・マルウェアの潮流を待ちながら のポストでは、iPhone 3GSについて触れられていましたが、iPhone OS 3.0は昨年発売されたiPhone 3Gにもカット/コピー/ペーストやSpotlightサーチやステレオBluetoothやボイスレコーダーApp常備など新しい機能をもたらすものとして、6月初旬のWWDCでの発表時から話題になっていました。

  しかしセキュリティの立場からiPhone OS 3.0を見ると、じつは46にわたる脆弱性の修正が含まれているため、単に新機能を求めてというよりも、絶対にすぐ3.0にアップグレードするべき内容といえます。

  Appleのサポートサイトの発表によると、この脆弱性修正には、PDFファイルに含まれる悪意のあるコードの実行可能性に関わるCore Graphicsの修正、悪意のあるExchangeサーバーへの誘導に関わる修正、Unicodeを使った細工による悪意のあるサイトへの誘導に関わる修正、MailでのHTMLメールに含まれるイメージの自動ロードに関わる修正やメールから自動的に電話をかけさせる挙動の修正、悪意のあるMP-4ファイル再生によりiPhoneがリセットされる問題の修正、IPSecツールのメモリーリークがDoSアタックを起こす可能性の修正、SafariやWebkitが悪意のある細工をされたサイトにアクセスすることにより他のサイトに影響を及ぼす可能性や情報流出を引き起こす可能性やクロスサイト・スクリプティングに関わる修正、ウェブサイト側がユーザーを秘密裏にトラッキングできる問題の修正など多岐にわたっています。

  実際のところiPhone OS 3.0の機能は魅力的なものばかりなので、大多数のユーザーは3.0へのアップグレードを早急に行うでしょう。それらのインセンティブがあるということは、普通のセキュリティ・アップデートに比べれば、かなりポジティブな状況といえます。しかし、よく見てみると、今回の3.0アップグレードのリリース方法には一つ問題があります。というのは、携帯電話機能がない以外はほとんど内容が同一のiPod Touchのユーザーには、おそらく同様の脆弱性修正を含むiPod Touch 3.0アップグレードは$9.95の有料になっていることです。

  4月時点での話題によると、世界中での販売台数ではiPhoneが2100万台、iPod Touchが1600万台、合わせて3700万台ですから、このAppleプラットフォームの内の43%になるiPod Touchのアップグレードが有料ということは、そのインセンティブが下がることになり、脆弱性が比較的長い間放置される可能性があるということになります。

  今回のiPhone OS 3.0アップグレードは、セキュリティパッチ・リリースについてのポジティブな可能性と難しさを両方示したことになるかもしれません。