Apple製品に複数の脆弱性が発見、脆弱性を悪用する攻撃も確認
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・公開されている脆弱性「Kernel」と「WebRTC」とは?
・身近なセキュリティ情報の収集方法
今回の解説ニュース
Apple製品に複数の脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、セキュリティ情報の収集方法について説明します。
今回のApple製品に関するセキュリティアップデートに伴い、複数の脆弱性が存在することについて発表されています。影響を受けるシステムは、iPhone XS以降とiPadの複数のバージョンです。影響として、ローカルの攻撃者が権限を昇格できたり、任意のコードが実行されたりする可能性があるということです。
公開されている脆弱性「Kernel」と「WebRTC」とは?
今回の、iOS 17.0.3およびiPadOS 17.0.3に関するセキュリティアップデートで修正された2つの脆弱性について説明します。特に、最初の脆弱性は深刻度も高いため、早期に対応することを検討してください。
(1)「Kernelに権限昇格の脆弱性が存在する」
影響として、ローカルの攻撃者が権限を昇格できる可能性があります。例えばiPhoneの場合、この脆弱性を悪用する不正なアプリをインストールしてしまった場合、アプリが動作するために必要十分な権限を越えて、iPhoneを攻撃者がコントロールできてしまうような、強い権限を付与してしまう可能性があります。なお、Appleでは、iOS 16.6 より前にリリースされたバージョンの iOSで、この脆弱性が悪用された可能性があるという報告を把握しているということです。深刻度を表すCVSSv3の基本値は7.8で、2番目に高い「重要」とされています。
(2)「WebRTCにバッファオーバーフローの脆弱性がある」
影響として、任意のコードが実行される可能性があります。バッファオーバーフローの詳しい説明は過去の配信も聞いていただければと思いますが、コップから水があふれる状態をイメージしてください。プログラムに用意されたデータが入るコップに、攻撃者が容量以上のデータを注ぎ込むと、あふれたデータによって、プログラムの動作に異常をきたすというものです。その結果、任意のコードとして、攻撃者の意図した動作がiPhone上で実行されてしまうことになります。