「iPhone」の脱獄を可能にするバグ、「iOS 12.4.1」で再修正

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部2019年08月27日 07時03分

 Appleは米国時間8月26日、「iOS」のセキュリティアップデートをリリースした。以前のリリースで修正したバグを同社が誤って元に戻したために、iOSの現行バージョンに新たな“ジェイルブレイク(脱獄)”を可能とするセキュリティ脆弱性が生じていたが、そのバグが修正されている。

AppleのCEO、Tim Cook氏

 GoogleのセキュリティチームProject ZeroのセキュリティエンジニアであるNed Williamson氏が発見した元のバグは、不正なアプリが「Use After Free」の脆弱性を利用して、iOSカーネルにおいてシステム権限でコードを実行できるものだった。

 このバグは、iOS 12.3で最初に修正されたが、7月のiOS 12.4で誤って元に戻されており、26日にリリースされたiOSバージョン12.4.1は、これを再度修正している。

 Appleのこの失態が見過ごされることはなく、8月に入ってPwn20wndというセキュリティ研究者が、Williamson氏のバグに基づくエクスプロイトを公開した。これを利用することにより、ユーザーはiOSの最新版を搭載する端末をジェイルブレイクして、自分のiPhoneを完全に制御することができる。

 しかし、ユーザーがリスクを冒して自分の端末をジェイルブレイクすることはそれほど危険なことのようには思われない。それよりも知られていない事実として、マルウェアのオペレーターやスパイウェアのベンダーも、Pwn20wndのジェイルブレイクを利用できるのだ。

 不正なアプリにそのジェイルブレイクコードを埋め込み、ユーザーにそのアプリをインストールさせれば、そのアプリは端末を完全に制御する権限を得ることができる。

 そのため、iOSユーザーは今回のセキュリティアップデートを早急にインストールするよう推奨されている。

 追加のセキュリティアップデートとして、「watchOS」(5.3.1)、「tvOS」(12.4.1)、「macOS Mojave」(10.14.6)もリリースされた。そのバグも、ハッカーらによる昇格された権限でのコード実行を可能にするものだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]