JVNは12月20日、複数のApple製品で修正困難な脆弱性が存在すると注意喚起しています。対象となるデバイスはプロセッサチップ「A5」から「A11」を搭載したデバイスで、iPhoneでは「iPhone 4S」から「iPhone X」までが対象。ファームウェアのアップデートなどの修正ができない脆弱性のため、対策は買い替えのみ。
「A11」以前のチップを使ったAppleデバイスに修正困難な脆弱性
JVNは12月20日、複数のApple製品で修正困難な脆弱性が存在すると注意を促しています。JVNは、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営する、脆弱性対策情報ポータルサイト。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供しています。
JVNは「複数の Apple 製品で使用している SecureROM には解放済みメモリ使用 (use-after-free) の脆弱性(CWE-416)が存在します」と説明。影響のあるデバイスは「A5」から「A11」までのプロセッサチップが搭載されている以下の製品。
- iPhones 4S から iPhone X まで
- iPad 第2世代から 第7世代まで
- iPad Mini 第2世代および 第3世代
- iPad Air および iPad Air 2
- iPad Pro 10.5 インチ および 12.9 インチ 第2世代
- Apple Watch Series 1 から Series 3 まで
- Apple TV 第3世代 および 4K
- iPod Touch 第5世代 から 第7世代
当該チップを搭載している製品であれば、上記以外も影響を受けます。
なお「A12」以降のチップを搭載している「iPhone XS」「iPhone XR」「iPhone 11」「iPad Pro 12.9インチ」(第3世代)などは、影響はないとのこと。
この脆弱性で想定される影響は、製品に物理的にアクセス可能な第三者によって、任意のコードを実行される可能性があるとのこと。
脆弱性への対策は「脆弱性のない製品への移行」のみ
報告されている脆弱性は、ファームウェアアップデートなどによる対策ができないため、対策方法は脆弱性を含まない製品へ移行することのみ。
悪意のある第三者がこの脆弱性を突くためには、デバイスに物理的にアクセスすることが必要であるため、通常使用時に注意する必要はそれほど多くありません。
ですが、AppleのMFI認証を取得していないケーブルを使用する場合や、紛失時などに影響を受ける可能性があります。