1: 田杉山脈 ★ 2019/12/23(月) 16:20:11.90 _USER
プロセッサ「A5」から「A11」のいずれかが搭載された複数のApple製品において、「SecureROM(ブートROM)」に任意のコードを実行できる脆弱性が存在するとして、米CERT/CCが注意喚起を行った。ファームウェアアップデートによる対策ができないとして、脆弱性を含まない製品へ移行するよう呼び掛けている。
CERT/CCや脆弱性情報サイト「JVN(Japan Vulnerability Notes)」が公開した情報によると、SecureROMには、デバイス起動時において解放済みのメモリ使用の脆弱性(CVE-2019-8900)が存在しており、物理的にアクセス可能な第三者から任意のコードを実行される恐れがあるという。
共通脆弱性評価システム「CVSS v3」のスコアは7.7。影響を受けるデバイスは以下の通り。
iPhone 4SからiPhone Xまで
iPad第2世代から第7世代まで
iPad mini第2世代および第3世代
iPad AirおよびiPad Air 2
iPad Pro 10.5インチおよび12.9インチ第2世代
Apple Watch Series 1からSeries 3まで
Apple TV第3世代および4K
iPod touch第5世代から第7世代
なお、A12以降のプロセッサを搭載するiPhone Xs、iPhone XR、iPhone 11シリーズおよびiPad Pro 12.9インチ第3世代は同脆弱性の影響を受けないとしている。
同脆弱性は、「axi0mX」と名乗るセキュリティ研究者によって「checkm8」と呼ばれるエクスプロイトコードが9月にGitHub上で公開されて話題になっていた。
https://internet.watch.impress.co.jp/docs/news/1226142.html
引用元: http://egg.5ch.net/test/read.cgi/bizplus/1577085611/
