JVNVU#98960050: iOS、iPadOS、tvOS、watchOS、macOS のカーネルに脆弱性
JVNVU#98960050 iOS、iPadOS、tvOS、watchOS、macOS のカーネルに脆弱性 Apple iOS、iPadOS、tvOS、watchOS、macOS のカーネルにおいて、デバイスにインストールされた悪意のあるアプリによりサンドボックスの回避やカーネルレベルでのコード実行が可能となる脆弱性が発見されました。 iOS 13.5.1 より前のバージョン iPadOS 13.5.1 より前のバージョン tvOS 13.4.6 より前のバージョン watchOS 6.2.6 より前のバージョン macOS Catalina 10.15.5 (ビルド番号 19F101) より前のバージョン macOS High Sierra (Security Update 2020-003 未適用のもの) iOS、iPadOS、tvOS、watchOS、macOS のカーネルにはカー
最新の「iOS 13.5」も脱獄できるツールが公開
ハッカー、セキュリティ研究者、リバースエンジニアからなるチーム「Unc0ver」が米国時間5月23日、「iOS」デバイス向けの新たなジェイルブレイク(脱獄)パッケージをリリースした。 Appleはセキュリティの観点から、「iPhone」をはじめとするiOSデバイスのデフォルト設定で、ユーザーに完全な権限を与えないようにしている。 Unc0verは23日、ジェイルブレイクソフトウェアの最新版「Unc0ver 5.0.0」をリリースした。このパッケージを使うと、iOSの最新版「iOS 13.5」を実行するデバイスを含むほとんどのiOSデバイスをルート化し、ロック解除することができる。 こうしたことが可能になるのは、Appleが認識していないiOSのゼロデイ脆弱性をUnc0ver 5.0.0が利用しているからだという。 そのゼロデイ脆弱性は、Unc0verのメンバーの1人(Pwn20wnd氏とし
iPhoneとiPadの「脱獄」サイト、未修正の脆弱性利用に懸念高まる
iPhoneとiPadを誰でも簡単に「脱獄」させることができてしまうというWebサイトが公開された。これにより発覚した脆弱性が悪用される恐れもあるとセキュリティ専門家は危惧する。 iPhoneとiPadを誰でも簡単に「脱獄」(Jailbreak)させることができてしまうというWebサイトが公開された。しかしこのWebサイトは未修正の脆弱性を利用しているとみられ、セキュリティ専門家からは悪用を危惧する声が上がっている。 英Sophosによれば、脱獄サイトの「JailBreakMe」では、PDFの脆弱性を利用してiPhoneとiPad(iPad 2を含む)の端末にかけられたロックを解除し、ユーザーがAppleの非公式アプリをインストールできるようにしている。しかしAppleのSafariブラウザでこのWebサイトを閲覧すると、脆弱性を突いて同サイトのコードが実行されるという。 悪意を持った人物
「脱獄は避ける」、アップル独自の世界を理解
利用者が急増中のスマートフォンだが、コンピューターウイルスによる端末の“乗っ取り”や情報漏洩などセキュリティ面でのリスクは従来の携帯電話よりも大きい。米アップルの「iPhone」の場合、注意すべき点は六つ。専門家は、「業務用途のiPhoneを『jailbreak(ジェイルブレイク=脱獄の意)』させるのはもってのほかだ」と警告する。 iPhoneのセキュリティ対策は、他のOSを搭載するスマートフォンとはだいぶ違っており独特だ。これを理解するには、iPhoneに特有の利用形態を押さえるとよい。 iPhoneは通常、アップル1社の世界に閉じた使い方になる。ハードウエアと搭載OS「iOS」はアップル製。アプリケーションの入手先も、アップルが運営するマーケットプレース「App Store」に限られる。 ユーザーは一般に、App Storeからしかアプリケーションを入手できない。ただし、この制限をなく
404 Page Not Found| サイバートラスト
404 Page Not Found ページが見つかりません. 15 秒後に自動的にトップページへ移動します。
「iPhone」の脱獄を技術面から分析
iPhoneには、パソコンとUSB接続することなく、単体で遠隔地から脱獄(米アップルが設けた保護機構を無効化すること)させる方法が存在する。具体的には、iPhoneのWebブラウザー「Safari」で「jailbreakme」というWebサイトにアクセスすれば、わずか数段階の作業で脱獄できてしまう。当然この方法は、全世界で利用されているiPhoneを攻撃しようと企んでいる悪人たちにも使われる。この脱獄方法を分析したところ、何者かに悪用されるのは時間の問題であると理解した。今回は、我々が見つけた情報を整理してみた。 図1●iPhoneにあるセキュリティホール2件を使う脱獄の手順 この脱獄手順は、まずPDFのCompact Font Format(CFF)に存在するセキュリティホール(CVE-2010-1797)を利用する(関連記事:iPhoneやiPadに危険な脆弱性、Webアクセスでウイル
アップル、「iOS」搭載デバイスのブラウザ脆弱性修正プログラムをリリース予定
Appleは米国時間8月4日、「iOS」搭載デバイスのブラウザ脆弱性の修正プログラムの準備ができたことを明らかにした。iPhone Dev Teamが先週末にリリースした最新のジェイルブレイク(脱獄)がモバイル「Safari」ブラウザを介することから、「iPhone」などでウェブからPDFファイルをロードする場合にセキュリティ上の危険があることが明らかになっていた。Appleは次のソフトウェアアップデートで修正を提供するとしているが、アップデートのリリース時期については明確にされていない。 Independent Security Evaluatorsの主席アナリストCharlie Miller氏は検出された2つの脆弱性として、ブラウザがPDFファイルを解読する際にコードがサンドボックス内部に入り込めること、またコードがサンドボックスを突破し、デバイスのルート、コントロール、権限を奪う可能
iPhoneの「脱獄」ツールに不審なコード、iOSに未解決の脆弱性か
iPhoneを「脱獄」させるためのツールにiOSの未解決の脆弱性が使われ、別の攻撃に利用される恐れもあるとセキュリティ各社が警告している。 iPhoneのロックを解除してAppleの非公認アプリを使えるようにする「脱獄」(Jailbreak)のためのツールに、iOSの未解決の脆弱性が使われている可能性がある。セキュリティ各社が8月3日、一斉に伝えた。 iPhoneの「脱獄」は、先日発表された米デジタルミレニアム著作権法の新たな適用除外項目に追加されて合法となった。セキュリティ企業のF-Secureによれば、これを受けて、iPhoneに搭載されているOSの最新版「iOS 4」に対応した脱獄ツール「JailbreakMe 2.0」がインターネットで公開されていた。 だがこのツールには、iOS上のSafariでPDFファイルを閲覧する際に発生する脆弱性が使用されていることが判明したという。Jai
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ベリサイン - Enterprise & Internet Security Solutions
https://jp.techcrunch.com/2011/08/30/20110829comex-answers-questions-about-iphone-hacking-before-heading-off-to-apple/
https://jp.techcrunch.com/2011/08/27/20110826apple-hires-iphone-hacker-nicholas-allegra-comex/