ニュース
iPhone 4S~Xなど複数のApple製品で修正困難な脆弱性、米CERT/CCが注意喚起
2019年12月23日 15:21
プロセッサ「A5」から「A11」のいずれかが搭載された複数のApple製品において、「SecureROM(ブートROM)」に任意のコードを実行できる脆弱性が存在するとして、米CERT/CCが注意喚起を行った。脆弱性情報サイト「JVN(Japan Vulnerability Notes)」では、ファームウェアアップデートによる対策ができないとして、脆弱性を含まない製品へ移行するよう呼び掛けている。
CERT/CCやJVNが公開した情報によると、SecureROMには、デバイス起動時において解放済みのメモリ使用の脆弱性(CVE-2019-8900)が存在しており、物理的にアクセス可能な第三者から任意のコードを実行される恐れがあるという。
共通脆弱性評価システム「CVSS v3」のスコアは7.7。影響を受けるデバイスは以下の通り。
- iPhone 4SからiPhone Xまで
- iPad第2世代から第7世代まで
- iPad mini第2世代および第3世代
- iPad AirおよびiPad Air 2
- iPad Pro 10.5インチおよび12.9インチ第2世代
- Apple Watch Series 1からSeries 3まで
- Apple TV第3世代および4K
- iPod touch第5世代から第7世代
なお、A12以降のプロセッサを搭載するiPhone Xs、iPhone XR、iPhone 11シリーズおよびiPad Pro 12.9インチ第3世代は同脆弱性の影響を受けないとしている。
同脆弱性は、「axi0mX」と名乗るセキュリティ研究者によって「checkm8」と呼ばれるエクスプロイトコードが9月にGitHub上で公開されて話題になっていた。
EPIC JAILBREAK: Introducing checkm8 (read "checkmate"), a permanent unpatchable bootrom exploit for hundreds of millions of iOS devices.
— axi0mX 🌧️📲 (@axi0mX)2019年9月27日
Most generations of iPhones and iPads are vulnerable: from iPhone 4S (A5 chip) to iPhone 8 and iPhone X (A11 chip).https://t.co/dQJtXb78sG