iPhone で KRACK が修正された同日、Wi-Fi のゼロデイ脆弱性が発見される

2017.11.14

昨日、Apple 社は iOS バージョン 11.1 のアップデートをはじめとする、複数の製品でのアップデートを公開しました。今回のアップデートには、Siri と Messenger に存在するセキュリティバグの修正だけでなく、WebKit Web ブラウザエンジンおよびカーネルに存在する任意のコードが実行される脆弱性に対する修正も含まれます。


iPhone 5s、iPad Air 以降のデバイスをお持ちで Wi-Fi 環境に接続される方は、このアップデートを直ちに適用することをお勧めします。


iOS 11.1 のアップデートには、KRACK と呼ばれる Wi-Fi 関連の脆弱性に対する修正が含まれています (このアップデートは一部の iOS デバイスには対応していません)。Apple が KRACK に対する修正を追加した CVE は、複数の KRACK 関連の CVE のうちの CVE-2017-13080(リンク先:英語) に該当します。


しかし、Apple は昨日開催された Mobile Pwn2Own ハッキングコンテストで発表された iOS の Wi-Fi ゼロデイ脆弱性にはまだ対応していません (以前の脆弱性とは別のものです)。詳細は不明ですが、Zero Day Initiative は以下のように伝えています(リンク先:英語)


(引用文日本語訳) Tencent Keen Security Lab は、Wi-Fi の脆弱性を悪用してコードを実行し、再起動後も権限昇格を維持することに成功。


Tencent Keen Security Lab はこの発見で 110,000 ドルの賞金を獲得しました。一方 Apple は、詳細情報が公開されるまでの 90 日間で iPhone に存在するこの問題を修正しなければなりません。


Apple の公式サポート文書によると、KRACK の修正が適用されるのは、iPhone 7s、iPad Pro 9.7 (2016年初頭発売) 以降に限られます。

KRACK パッチが、最新機種の iOS のみに適用される理由は定かではありません。これ以前のデバイス向けのパッチが未だ開発段階にあるのか、もしくは古いバージョンは KRACK の影響を受けないと Apple が判断した可能性もあります。


いずれにせよ、iPhone 7 以前のユーザは万一に備えて、Apple のアップデート情報に注目しておいたほうがよいでしょう。

上記の iOS アップデートと同時に MacOS のセキュリティアップデートが公開されています。このセキュリティアップデートでは、Wi-Fi 関連の脆弱性「KRACK」、TLS 1.0 の脆弱性、メモリアクセスと任意のコード実行に関連する複数の脆弱性、カーネルレベルの脆弱性、そして tcpdump の問題に関する 90 件以上の CVE 対する修正が提供されています。


El Capitan (macOS 10.11.6) および Sierra (10.12.6) をお使いの方は、それぞれ最新のオペレーティングシステムのアップデート (2017-004 El Capitan、2017-001 Sierra) のインストールをお勧めします。High Sierra (10.13) をお使いの方は、バージョン 10.13.1 にアップデートすることで、これらの修正が反映されます。(Yosemite をお使いの方は、7 月に提供された 2017-003 が最新のセキュリティアップデートとなります。)

引用元

おすすめの記事はこちら