Appleが“危険なiOSとmacOS”の更新を促す事態に
関連キーワード 脆弱性対策 | Apple | iOS | Mac | 脆弱性 Appleは2022年8月、同社製のデバイスやブラウザに影響を及ぼす可能性のある、2つのゼロデイ脆弱(ぜいじゃく)性を公開した。ゼロデイ脆弱性は、ベンダーが欠陥を解消する前に攻撃に悪用される脆弱性だ。同社が公開した脆弱性は、「iOS」「iPadOS」「macOS Monterey」といったOSや、Webブラウザ「Safari」が影響を受ける可能性がある。 Appleが公開した脆弱性 攻撃者はどう悪用するのか? 併せて読みたいお薦め記事 Apple製品の脆弱性対策 iPhoneで“野良アプリ”を使ってはいけない理由と、それでも使うときの判断基準 「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念” 2つの脆弱性には、「CVE-2022-32893」「CVE-2022-32894」という識別番号
最新の「iOS 13.5」も脱獄できるツールが公開
ハッカー、セキュリティ研究者、リバースエンジニアからなるチーム「Unc0ver」が米国時間5月23日、「iOS」デバイス向けの新たなジェイルブレイク(脱獄)パッケージをリリースした。 Appleはセキュリティの観点から、「iPhone」をはじめとするiOSデバイスのデフォルト設定で、ユーザーに完全な権限を与えないようにしている。 Unc0verは23日、ジェイルブレイクソフトウェアの最新版「Unc0ver 5.0.0」をリリースした。このパッケージを使うと、iOSの最新版「iOS 13.5」を実行するデバイスを含むほとんどのiOSデバイスをルート化し、ロック解除することができる。 こうしたことが可能になるのは、Appleが認識していないiOSのゼロデイ脆弱性をUnc0ver 5.0.0が利用しているからだという。 そのゼロデイ脆弱性は、Unc0verのメンバーの1人(Pwn20wnd氏とし
「iPhone」の脆弱性が2年以上も悪用されていた--中国によるウイグル人監視か
Googleのセキュリティチーム「Project Zero」の研究者らは、複数のウェブサイトがハッキングされて、長年にわたって訪問者の「iPhone」にマルウェアを忍び込ませていたことを発見したと発表した。そうしたサイトを訪問したユーザーは、メッセージ、写真、位置データを読み取られていた可能性があるという。同チームは、2019年に入ってこの発見内容をAppleに報告済みで、この脆弱性は「iOS 12.1.4」で修正されたという。 「攻撃は無差別だった。ハッキングされたサイトを訪問するだけで、エクスプロイトサーバーはそのユーザーの端末を攻撃することができ、それに成功すると、監視プログラムをインストールする。それらのサイトには毎週数千人の訪問者がいると推定される」と、Project ZeroのIan Beer氏は、同チームの発見内容を詳しく説明する米国時間8月29日付けのブログ記事に記している
「iPhone」の脱獄を可能にするバグ、「iOS 12.4.1」で再修正
Appleは米国時間8月26日、「iOS」のセキュリティアップデートをリリースした。以前のリリースで修正したバグを同社が誤って元に戻したために、iOSの現行バージョンに新たな“ジェイルブレイク(脱獄)”を可能とするセキュリティ脆弱性が生じていたが、そのバグが修正されている。 GoogleのセキュリティチームProject ZeroのセキュリティエンジニアであるNed Williamson氏が発見した元のバグは、不正なアプリが「Use After Free」の脆弱性を利用して、iOSカーネルにおいてシステム権限でコードを実行できるものだった。 このバグは、iOS 12.3で最初に修正されたが、7月のiOS 12.4で誤って元に戻されており、26日にリリースされたiOSバージョン12.4.1は、これを再度修正している。 Appleのこの失態が見過ごされることはなく、8月に入ってPwn20wnd
iOSカメラのQRコード解析にバグ報告、不正サイトに誘導の恐れも
iOSのカメラでURLを解析する仕組みに問題があり、画面に表示されているURLとは違うWebサイトにジャンプさせることができてしまうという。 AppleのiOSのカメラでQRコードを読み取る機能にバグが見つかったとして、セキュリティ研究者がデモ映像などを公開した。不正なQRコードを読み取らせ、表示されているのとは違うWebサイトに誘導される可能性を指摘している。 この問題は、セキュリティ情報サイトのinfosecが3月24日のブログで伝えた。QRコードの読み取りはiOS 11から加わった機能で、iPhoneやiPadのカメラをかざすと、自動的にQRコードがスキャンされ、WebサイトのURLが表示される。この画面をタップすると、Safariでそのサイトを閲覧できる。 ところがinfosecが調べた結果、iOSのカメラでURLを解析する仕組みに問題があり、QRコードに不正なURLを仕込むことで
多数のBluetooth接続機器に影響する脆弱性--セキュリティ企業が警告
市販のPC、モバイル機器、スマートデバイスのうち、Bluetooth接続を利用している「ほぼすべて」の製品に影響する可能性のある一連の脆弱性が明らかになった。 セキュリティ企業Armisの研究者らが「BlueBorne」と総称した8件の脆弱性は、Bluetoothの短距離無線プロトコルに対応するデバイスに影響を及ぼす。 脆弱性のうち深刻度が高いものでは、攻撃者は、感染したデバイスのコントロールとデータを獲得し、企業のネットワークからビジネスの機密データを盗み出せるようになる。攻撃ベクターを利用するマルウェアは特に有害で、Bluetoothが有効になっている近くのデバイスにピアツーピアで感染する可能性があると、Armisの研究者らは述べている。 スマートフォンを持った人々が多数いるオフィスに、感染した1台のデバイスを持った人が入るだけで、Bluetoothが有効になっているスマートフォン、タ
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 | JPCERTコーディネーションセンター(JPCERT/CC)
各位 JPCERT-AT-2017-0037 JPCERT/CC 2017-09-13 <<< JPCERT/CC Alert 2017-09-13 >>> Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170037.html I. 概要 複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne" に関する情報が、脆弱性の報告者により公開されています。脆弱性を悪用され た場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたり するなどの可能性があります。 Armis The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device https://www
リモートで悪用可能なWi-Fiチップセットの脆弱性、Black Hatで詳細発表
問題のチップセットは、幅広いAndroid端末やiOS端末に搭載されている。AppleとGoogleはそれぞれ、7月に公開したセキュリティアップデートでこの脆弱性に対処した。 Android端末やiOS端末に幅広く搭載されているBroadcom製Wi-Fiチップセットの脆弱(ぜいじゃく)性を突いて、リモートで端末を制御する方法に関し、セキュリティ研究者が7月27日にセキュリティカンファレンス「Black Hat USA 2017」で発表を予定している。 AppleとGoogleは、それぞれ7月に公開したセキュリティアップデートで、この脆弱性(CVE-2017-9417)に対処済み。米セキュリティ機関のSANS Internet Storm Centerは、手持ちの全デバイスでアップデートが適用されていることを確認するよう促した。 27日の発表を予定しているExodus Intelligen
リンクをクリックするだけで任意の電話番号にダイアル、iOSアプリに問題か
指摘した研究者によれば、ユーザーがアプリで受信したメッセージなどのリンクをクリックするだけで自動的に電話がかかり、画面には何も表示されないため電話を切ることもできない。 AppleのiOS向けアプリに使われているHTMLコンテンツ表示機能の「WebView」について、任意の電話番号へ自動的に電話をかけさせる攻撃に使われる可能性があることが分かったという。セキュリティ研究者が11月8日のブログで実証ビデオなどを公開した。 セキュリティ研究者コリン・ムリナー氏のブログによると、この問題は極めて簡単に悪用でき、画面表示を一時的にブロックして被害者が電話を切ることをできなくさせる方法もあるという。 原因については「OS/フレームワークのデフォルトの問題に起因するアプリケーションの不具合と思われる」と解説している。 ムリナー氏は最初、iOSのTwitterアプリで問題を発見して同社に通報。Twitt
【セキュリティ ニュース】米銀行のiOS向けネットバンキングアプリにゼロデイ脆弱性(1ページ目 / 全1ページ):Security NEXT
米国の銀行であるBB&TのiOS向けオンラインバンキングアプリ「U by BB&T」に通信内容が盗聴されるおそれがある脆弱性が含まれていることがわかった。修正版は提供されていない。 10月7日の時点で最新版である「同1.5.4」や以前のバージョンに、SSLサーバ証明書の検証処理に不備がある脆弱性「CVE-2016-6550」が判明したもの。「マンインザミドル(MITM)攻撃」により通信内容が盗聴されたり、改ざんされるおそれがある。 同アプリのアップデートなどは、10月7日の時点で提供されておらず、セキュリティ機関では、同アプリの使用を避ける、信頼できないネットワークを使用しないなど、利用者へ注意を呼びかけている。 (Security NEXT - 2016/10/06 ) ツイート
AppleのOSにStagefrightのような脆弱性 | 財経新聞
画像処理関連APIのバグにより、リモートからの任意コード実行が可能となるOS XやiOSなどの脆弱性が発見され、Appleが各OSの最新版で修正している(Talosのブログ記事、The Guardianの記事、9to5Macの記事、BetaNewsの記事)。 TALOS-2016-0171(CVE-2016-4631)はImage I/O APIにおけるTIFFファイルの処理に関する脆弱性で、細工したTIFFファイルを読み込ませることでヒープベースのバッファーオーバーフローを引き起こし、リモートからのコード実行が可能となる。iMessageやMMSで攻撃用のファイルを送り付ければ、ターゲットが操作を行わなくても攻撃が実行される可能性も指摘されている。脆弱性の内容は異なるものの、攻撃のベクターが似通っていることから、昨年話題になったAndroidのStagefright脆弱性を引き合いに出す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Safari 15、Web行動履歴の漏洩につながる脆弱性。特にiPhone/iPadに大きな影響
AirDrop、実はヤバかった? 電話番号やメールアドレスが特定される可能性ありと判明【やじうまWatch】
https://jp.techcrunch.com/2020/05/24/2020-05-23-hackers-iphone-new-jailbreak/
iPhoneなどの旧モデルに「修正不能」な脆弱性、それがセキュリティ研究者にとっては“福音”となる
Googleが指摘していたiOSのセキュリティ問題に対し、Appleが反論/影響範囲は限定的で、期間も短い――一方で、透明性に関しては疑問も
Androidを狙うハッキングツールの「価値」がiPhone向けを上回る。その“逆転劇”が納得できる理由
iOSアプリ「an」に、情報漏えいの脆弱性(JVN) | ScanNetSecurity
TechCrunch
スマホ乗っ取りに注意を 短距離無線通信にもろさ - 日本経済新聞
