ソフトウェアのバグ探しを任務とするGoogleのProject Zeroの研究者らが、iOSに対する攻撃をいくつか発見した。
ZDNetが今週報じた。Project Zeroのメンバー数名が、iOSに関連する6つのセキュリティ脆弱性を特定した。そのうち5つについては、既に概念実証コードと動作デモが公開されている。研究者らは特に、これらの脆弱性はiMessageクライアントを介して対処可能であると指摘している。
しかし、朗報があります。6つの脆弱性はすべて、iOS 12.4の正式リリース時に既に修正されています。これらの最新のセキュリティ問題はすでに修正されており、その影響は大幅に軽減されていますが、毎日使用するソフトウェアを最新の状態に保つことが極めて重要であることを改めて認識させられます。
注目すべきは、今回のバグのうち1つが(少なくとも今のところは)未だに公表されていないことです。iOS 12.4では6つすべてが修正されましたが、少なくともバグを発見した研究者の1人であるナタリー・シルバノビッチ氏によると、そのうち1つは完全には解決されていないとのことです。もう1人の研究者はサミュエル・グロス氏です。
研究者によると、6つのセキュリティバグのうち4つは、ユーザーの操作を必要とせずに、リモートのiOSデバイス上で悪意のあるコードの実行につながる可能性がある。攻撃者は、不正なメッセージを被害者の携帯電話に送信するだけで、ユーザーが受信したメッセージを開いて表示すると、悪意のあるコードが実行される。
4つのバグは、CVE-2019-8641(詳細は非公開)、CVE-2019-8647、CVE-2019-8660、CVE-2019-8662です。リンクされたバグレポートには、各バグに関する技術的な詳細だけでなく、エクスプロイトの作成に使用可能な概念実証コードも含まれています。
5 番目と 6 番目のバグ CVE-2019-8624 と CVE-2019-8646 により、攻撃者はユーザーの介入なしに、デバイスのメモリからデータを漏洩し、リモート デバイスのファイルを読み取ることができる可能性があります。
バグハンティングは高額な報酬につながる可能性があります。元のレポートでも指摘されているように、この種の脆弱性は研究者に100万ドルをはるかに超える利益をもたらす可能性があります。そのため、今回のセキュリティ問題の総額は500万ドル以上だった可能性がありますが、最近のiOSバージョンで機能していたことを考えると、2400万ドルにも上る可能性もありました。
基本的に、まだアップグレードしていない場合は、できるだけ早く iOS 12.4 にアップグレードするようにしてください。
