iPhone XやiPad第7世代等が対象の脆弱性、アプデで修正不可。Appleは情報公開せず
コンピューターセキュリティなどの情報発信を行う一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は、複数のアップル製品に修正不可能な脆弱性が存在すると注意喚起している。
本脆弱性は、アップル製品に搭載されているプロセッサチップA5からA11を使用するデバイスに存在する。詳細は、SecureROM(ブート ROM レベル) に、デバイス起動時において解放済みのメモリ使用 (use-after-free) の脆弱性 (CWE-416) があるというもの。
この脆弱性は、製品に物理的にアクセス可能な第三者によって、任意のコードを実行される可能性がある。ネット接続などで遠隔操作されるような可能性はないが、悪意のある修理業者が存在する場合、修理中に製品に物理アクセス可能なのでこの脆弱性を利用される恐れがある。
対象となっているデバイスは以下の通り。
iPhones 4s から iPhone X まで iPad 第 2 世代から 第 7 世代まで iPad Mini 第 2 世代および 第 3 世代 iPad Air および iPad Air 2 iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 Apple Watch Series 1 から Series 3 まで Apple TV 第 3 世代 および 4k iPod Touch 第 5 世代 から 第 7 世代 ※脆弱性に該当するプロセッサチップを利用しているデバイスなら、上記以外の製品も影響を受ける。
多くのアップル製品が対象となる脆弱性だけあり、影響の大きいものだが、本脆弱性は読み取り専用のSecureROM(ブート ROM レベル) に存在するため、ファームウェアアップデートなどによる対策が不可能となっている。
JPCERT/CCでは「脆弱性を含まない製品へ移行してください」と発信しており、例えば、iPhone Xを利用しているユーザーならiPhone XSやiPhone 11などへ買い換えなければいけない。
自分のデバイスを第三者に物理的にアクセスさせなければ脆弱性を利用されないので、危険性は大きくないとも言えるが、Appleからは本脆弱性に関する情報が公開されておらず、買い換えるかどうか、ユーザーの判断に委ねられるという状態になっている。
この脆弱性は、製品に物理的にアクセス可能な第三者によって、任意のコードを実行される可能性がある。ネット接続などで遠隔操作されるような可能性はないが、悪意のある修理業者が存在する場合、修理中に製品に物理アクセス可能なのでこの脆弱性を利用される恐れがある。
対象となっているデバイスは以下の通り。
iPhones 4s から iPhone X まで iPad 第 2 世代から 第 7 世代まで iPad Mini 第 2 世代および 第 3 世代 iPad Air および iPad Air 2 iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 Apple Watch Series 1 から Series 3 まで Apple TV 第 3 世代 および 4k iPod Touch 第 5 世代 から 第 7 世代 ※脆弱性に該当するプロセッサチップを利用しているデバイスなら、上記以外の製品も影響を受ける。
多くのアップル製品が対象となる脆弱性だけあり、影響の大きいものだが、本脆弱性は読み取り専用のSecureROM(ブート ROM レベル) に存在するため、ファームウェアアップデートなどによる対策が不可能となっている。
JPCERT/CCでは「脆弱性を含まない製品へ移行してください」と発信しており、例えば、iPhone Xを利用しているユーザーならiPhone XSやiPhone 11などへ買い換えなければいけない。
自分のデバイスを第三者に物理的にアクセスさせなければ脆弱性を利用されないので、危険性は大きくないとも言えるが、Appleからは本脆弱性に関する情報が公開されておらず、買い換えるかどうか、ユーザーの判断に委ねられるという状態になっている。