ニュース

iPhone 4S~Xなど複数のApple製品で修正困難な脆弱性、米CERT/CCが注意喚起

 プロセッサ「A5」から「A11」のいずれかが搭載された複数のApple製品において、「SecureROM(ブートROM)」に任意のコードを実行できる脆弱性が存在するとして、米CERT/CCが注意喚起を行った。脆弱性情報サイト「JVN(Japan Vulnerability Notes)」では、ファームウェアアップデートによる対策ができないとして、脆弱性を含まない製品へ移行するよう呼び掛けている。

 CERT/CCやJVNが公開した情報によると、SecureROMには、デバイス起動時において解放済みのメモリ使用の脆弱性(CVE-2019-8900)が存在しており、物理的にアクセス可能な第三者から任意のコードを実行される恐れがあるという。

 共通脆弱性評価システム「CVSS v3」のスコアは7.7。影響を受けるデバイスは以下の通り。

  • iPhone 4SからiPhone Xまで
  • iPad第2世代から第7世代まで
  • iPad mini第2世代および第3世代
  • iPad AirおよびiPad Air 2
  • iPad Pro 10.5インチおよび12.9インチ第2世代
  • Apple Watch Series 1からSeries 3まで
  • Apple TV第3世代および4K
  • iPod touch第5世代から第7世代

 なお、A12以降のプロセッサを搭載するiPhone Xs、iPhone XR、iPhone 11シリーズおよびiPad Pro 12.9インチ第3世代は同脆弱性の影響を受けないとしている。

 同脆弱性は、「axi0mX」と名乗るセキュリティ研究者によって「checkm8」と呼ばれるエクスプロイトコードが9月にGitHub上で公開されて話題になっていた。