本日午後のiOS 12.1.4のリリースに続き、Googleのセキュリティエンジニアが2つのゼロデイセキュリティ脅威を明らかにしました。GoogleのProject Zeroセキュリティチームのチームリーダーであるベン・ホークス氏は、本日午後Twitterでこれらの脆弱性の存在を明らかにしました。

ZDNetの報道によると、これら2つの脆弱性は本日リリースされた iOS 12.1.4 で修正されました。しかし、Hawkes 氏によると、これらの脆弱性はいずれもゼロデイ攻撃として実環境で悪用されていたとのことです。これらの脆弱性には、CVE-2019-7286 と CVE-2019-7287 という識別子が付けられています。

AppleのiOS 12.1.4セキュリティ変更ログによると、CVE-2019-7286はiOS Foundationフレームワークに関連しており、攻撃者がメモリ破損を利用して「昇格された権限」を取得する可能性があるとのことです。一方、CVE-2019-7287はI/O Kitに関連するもので、メモリ破損の問題により、攻撃者が「カーネル権限で任意のコードを実行」できる可能性があります。

Appleのセキュリティログでは、両方の発見について「Google Threat Analysis Groupの匿名の研究者、Clement Lecigne氏、Google Project ZeroのIan Beer氏、およびGoogle Project ZeroのSamuel Groß氏」の功績が認められている。

財団

• 対象機種: iPhone 5s以降、iPad Air以降、iPod touch第6世代
• 影響: アプリケーションが昇格された権限を取得できる可能性がある
• 説明: 入力検証を強化し、メモリ破損の問題を解決しました。

IOKit

• 対象機種: iPhone 5s以降、iPad Air以降、iPod touch第6世代
• 影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある
• 説明: 入力検証を強化し、メモリ破損の問題を解決しました。

こうしたゼロデイ脆弱性ではよくあることですが、具体的な内容への注目が集まるのを防ぐため、詳細はほとんど明らかにされていません。ホークス氏は、これらのセキュリティホールが「ゼロデイ攻撃として実際に悪用された」とだけ述べています。上記の説明以上の詳細が明らかになる可能性は低いでしょう。

つまり、グループ FaceTime アクセスが iOS 12.1.4 にアップグレードする動機として十分でなかったとしても、これら 2 つの脆弱性が役に立つはずだということです。

本日の iOS アドバイザリ (https://t.co/ZsIy8nxLvU) に記載されている CVE-2019-7286 および CVE-2019-7287 が、0day として実際に悪用されました。

— ベン・ホークス（@benhawkes）2019年2月7日

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。