iOSに“脱獄”につながる未対策の脆弱性(JVN) | ScanNetSecurity
2020.07.02(木)

iOSに“脱獄”につながる未対策の脆弱性(JVN)

IPAおよびJPCERT/CCは、Apple社が提供するiOSのカーネル“Jailbreak”(脱獄)につながる脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は5月27日、Apple社が提供するiOSのカーネル“Jailbreak”(脱獄)につながる脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。現時点で対策方法は公表されていない。影響を受けるシステムは次の通り。

・iOS 11 から 13.5 で動作する端末
(iOS 12.3 から 12.3.2 および iOS 12.4.2 から 12.4.5 は除く)

iOS のカーネルには、カーネル権限でのコード実行が可能となる脆弱性が存在する。この脆弱性を利用して端末を“脱獄”させるツール「unc0ver 5.0」が公開されており、この手法はPointer Authentication Code (PAC) をサポートするCPUを搭載した比較的新しいiOS端末でも有効であることが報告されている。

この脆弱性により、悪意のあるアプリを端末にインストールすることで、iOS のサンドボックスや他の保護機構を回避され、任意のコードが実行される可能性がある。JVNでは、Apple から提供される情報を注視し、iOS を常に最新の状態にアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

    サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

  2. 「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

    「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

  3. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  4. 自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

    自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  7. ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ  (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

    ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

  8. テレワーク実施実態調査:都道府県別・業界別・職種別

    テレワーク実施実態調査:都道府県別・業界別・職種別

  9. LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

    LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

  10. クラウド侵害の半数近くがホストアプリを経由(日本IBM)

    クラウド侵害の半数近くがホストアプリを経由(日本IBM)

ランキングをもっと見る