【iPhone/iPad/iOS】<早急にiOSのアップデートを>iOS 9.3.5を公開、ゼロデイ脆弱性3件を修正。
先日、アップルよりiOS 9.3.5が公開されましたが、こちらには、重大な脆弱性(不具合)に関する修正が含まれております。
独立行政法人 情報処理推進機構(IPA)からも注意喚起が出されております。
アップデートされておられない方は早急なアップデートを推奨いたします。
<参考>
引用:攻撃者が用意したページにアクセスすることで悪意のあるコードがダウンロードされ、被害者の端末を制御され様々な被害が発生する可能性があります。
引用:修正した脆弱性は以下の3件。
・カーネルメモリーの内容漏洩の修正
・カーネル権限で任意のコードを実行
・悪意のあるサイトを表示した際に任意のコードを実行
最初の2つはカーネルに関する脆弱性であり、最後はWebkit関連の脆弱性です。
NSOのPegasusを使うと、カーネルメモリーを読み取りつつメモリー不整合を引き起こし、自動的にジェイルブレイク状態にすることができるとのこと。もしそうなれば、マンスール氏のiPhoneは遠隔から自由に操作が可能となり、カメラやマイクで会話などを送信したり、通信内容を読み取られていたかもしれません。
引用:iPhoneのiOSに存在する脆弱性を突いたゼロデイ攻撃により、リンクを踏むだけでiPhoneのフルコントロールを奪われてしまう凶悪なマルウェアの存在が明らかになりました。発見した研究者の報告により、Appleは即座に緊急パッチを公開して対応しています。
JVNDB-2016-004455 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2016-004456 - JVN iPedia - 脆弱性対策情報データベース