アプデ急げー!最新OSではないiPhone、iPad、Mac全てが対象の深刻な脆弱性が見つかる

33

2018.11.03

by ともぞう

アメリカのセキュリティ企業によると、最新版ではないOSを搭載したApple製品のほぼ全てが影響を受ける脆弱性があると公表しました。

Semmleのセキュリティ研究チームのKevin Backhouse氏よって発見された脆弱性は、とんでもない影響範囲になりそうです。

公表された脆弱性は2つでそのうちの1つは、iOS、macOS、tvOS、watchOSなどに組み込まれた「XNUカーネル」を利用したもの。

この脆弱性は悪意のあるIPパケットを攻撃対象のデバイスに送信することで、攻撃者が任意のコードを実行、データの抽出、デバイスをクラッシュさせて再起動させることができるそうです。

一部専門用語もあり詳しく説明はできないのですが、この説明を読んだだけでもとんでもないレベルの脆弱性であることは間違いなさそうです。

この脆弱性はiOS 12ならびに最新版のmacOS Mojave、Sierra、High Sierraにおいては修正済みとなりますが、iOS 11、最新パッチを適用していないmacOS Sierra、High Sierraが対象になるそうです。

そして2つ目の脆弱性は「XNUカーネル」のNFSプロトコルに関連するもの。

NFSプロトコルを利用するとネットワーク上のファイルにローカルストレージのようにアクセスできるようになるもので、攻撃者は悪意を持って作成されたNFSボリュームをマウントさせることで、カーネルレベルの特権を得られてしまうそうです、

この特権レベルは通常の管理者ユーザーよりも高く、攻撃者はディスクやメモリ上の任意のファイルの読み取り、書き込み、削除、新しいアプリケーションのインストール、デバイスの初期化までできてしまうとのこと。

MacOSではNFS共有をマウントするために特別な権限は必要とないため、パスワードを必要としないゲストアカウントを含むあらゆるユーザーが脆弱性を悪用する可能性があるそうです。

こちらも結構なレベルでまずい脆弱性で、要はこの脆弱性を利用されたらもうほぼ乗っ取られたも同然と言うことですよね。恐ろしい。

こちらの脆弱性は2018年7月9日にリリースされたmacOS 10.13.6で修正済みで、macOSバージョン10.13.5以前の全てのmacOSは影響を受ける可能性があります。

必ずしも自分がこの脆弱性を利用した攻撃を受けるとは限りませんが、今回の内容はやられた時のダメージは深刻なものです。

可能であれば自身でお使いのApple製品は修正されている最新版OSにアップデートすることをオススメいたします。

「AppleCare」に入り忘れた方はコチラ

 条件は最強なのに知られてない↑

ドコモのiPhoneをチェックする

 au民は見ない方がいいかも。最終的に全然違うよ。

参考:Semmle

コメント数ランキング

ランキングの続きを見る


関連記事