Apple、「iOS 9.3.5」でゼロデイ脆弱性「Trident」を修正 - 諜報ソフトが悪用
Appleは、同社スマートデバイス向けにアップデートとなる「iOS 9.3.5」をリリースし、3件の脆弱性へ対応した。これら脆弱性を悪用したゼロデイ攻撃が判明している。
「Trident」へ対応した「iOS 9.3.5」
カーネルメモリの内容が漏洩する「CVE-2016-4655」や、コードが実行されるおそれがある「CVE-2016-4656」などカーネルに関する脆弱性2件や、「WebKit」の脆弱性「CVE-2016-4657」を修正したもの。
いずれも米Lookoutとトロント大学のCitizen Labより報告を受けて対応した。Lookoutなどはこれら脆弱性を「Trident」と名付けており、利用者へアップデートを行うよう呼びかけている。
2010年に米国の企業に買収されたイスラエルの組織であるNSOグループが提供する諜報製品「Pegasus」で利用されており、人権活動家に対する標的型攻撃に悪用されていることをCitizen Labが突き止めたという。
「Pegasus」は、モジュール方式によりカスタマイズが可能で、ネットワークへ接続させ、音声通話やカメラ、メール、メッセージ、位置情報、パスワード、連絡帳のほか、Gmail、Facebook、Skype、WhatsApp、FaceTime、カレンダー、Lineといったアプリ上のデータなどを取得することが可能。発見を避けるために暗号化も行っていた。
同ツールでは、今回修正された脆弱性を悪用。「CVE-2016-4655」にて情報収集を実現する一方で、「CVE-2016-4656」によってメモリ破壊を引き起こし、攻撃者によって利用者に気が付かれずにジェイルブレイク(脱獄)を行うことができるという。また「CVE-2016-4657」を利用することで、リンクへのクリックを把握することが可能だった。
(Security NEXT - 2016/08/26 )
ツイート
PR
関連記事
米当局、「Twilio」や「IE」の脆弱性悪用に注意呼びかけ
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用
「OpenVPN」に「OVPNX脆弱性」 - 3月の更新で修正済み
「Hyper-V」や「HFS」など脆弱性3件の悪用に注意喚起 - 米政府
「Cisco NX-OS」にゼロデイ脆弱性 - 4月より悪用の試行も
Check Point機器の脆弱性、当初発表よりも影響大 - 国内で多数機器が稼働
今月4件目の「Chromium」ゼロデイ脆弱性を悪用リストに追加 - 米当局
「MS Edge」もアップデート - 今月4度目のゼロデイ修正
「Chrome」に今月4件目のゼロデイ脆弱性 - 悪用を確認
悪用脆弱性リストに医療データ連携ソフト関連など2件が登録 - 今月5度目の追加
