Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Apple、「iOS 9.3.5」でゼロデイ脆弱性「Trident」を修正 - 諜報ソフトが悪用

Appleは、同社スマートデバイス向けにアップデートとなる「iOS 9.3.5」をリリースし、3件の脆弱性へ対応した。これら脆弱性を悪用したゼロデイ攻撃が判明している。

「Trident」へ対応した「iOS 9.3.5」
「Trident」へ対応した「iOS 9.3.5」

カーネルメモリの内容が漏洩する「CVE-2016-4655」や、コードが実行されるおそれがある「CVE-2016-4656」などカーネルに関する脆弱性2件や、「WebKit」の脆弱性「CVE-2016-4657」を修正したもの。

いずれも米Lookoutとトロント大学のCitizen Labより報告を受けて対応した。Lookoutなどはこれら脆弱性を「Trident」と名付けており、利用者へアップデートを行うよう呼びかけている。

2010年に米国の企業に買収されたイスラエルの組織であるNSOグループが提供する諜報製品「Pegasus」で利用されており、人権活動家に対する標的型攻撃に悪用されていることをCitizen Labが突き止めたという。

「Pegasus」は、モジュール方式によりカスタマイズが可能で、ネットワークへ接続させ、音声通話やカメラ、メール、メッセージ、位置情報、パスワード、連絡帳のほか、Gmail、Facebook、Skype、WhatsApp、FaceTime、カレンダー、Lineといったアプリ上のデータなどを取得することが可能。発見を避けるために暗号化も行っていた。

同ツールでは、今回修正された脆弱性を悪用。「CVE-2016-4655」にて情報収集を実現する一方で、「CVE-2016-4656」によってメモリ破壊を引き起こし、攻撃者によって利用者に気が付かれずにジェイルブレイク(脱獄)を行うことができるという。また「CVE-2016-4657」を利用することで、リンクへのクリックを把握することが可能だった。

(Security NEXT - 2016/08/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

「MS Edge」がゼロデイ脆弱性を解消 - 前版ベースに急遽対応
「Chrome」にアップデート - 今月3度目のゼロデイ脆弱性修正
5月のMS月例パッチが公開 - 複数のゼロデイ脆弱性を修正
「MS Edge」のアップデートが公開 - スクリプトエンジンのゼロデイ脆弱性を解消
Apple、「iOS 17.5」などスマートデバイス向けにアップデートを公開
米当局、「Chromium」の脆弱性悪用に警鐘 - 派生ブラウザでも注意を
ゼロデイ脆弱性を修正した「Microsoft Edge」のアップデートが公開
軽量プロクシ「Tinyproxy」に脆弱性 - 報告者と開発者に溝
ブラウザ「Chrome」にゼロデイ脆弱性 - 緊急アップデートが公開
米政府、脆弱性「Citrix Bleed」についてガイダンスを公開