CERT Coordination Center (CERT/CC:Carnegie Mellon University)は5月26日(米国時間)、「VU#127371 - iOS contains an unspecified kernel vulnerability」において、iOSに脆弱性が存在すると伝えた。この脆弱性を悪用すると、iOSの提供する保護機能やサンドボックス機能を回避して任意のコードをカーネル権限で実行できる可能性があるとされており、注意が必要。

この脆弱性は影響範囲などを含め、詳細が明らかになっておらず、影響を受けるバーションも不明。CERT/CCは脆弱性の情報源として、次の2つのWebページを紹介している。

unc0ver

Project Zero: Examining Pointer Authentication on the iPhone XS

脆弱性が存在するとされるプロダクトおよびバージョンは明らかにされていないが、上記ページでは、iOS 11からiOS 13.5までのすべてのデバイスが影響を受ける(ただし、バージョンiOS 12.3〜12.3.2およびiOS 12.4.2〜12.4.5は影響を受けない可能性がある)という可能性が示唆されている。

本稿執筆時点で、CERT/CCはこの脆弱性に対処するための情報を認識していないと説明しており、今後Appleから提供されると見られるセキュリティ情報に注目する必要がある。

VU#127371 - iOS contains an unspecified kernel vulnerability


CERT/CCによれば、この脆弱性は深刻度が重大と識別されている。脆弱性を悪用するには、細工した悪意あるアプリをユーザーにインストールさせる必要があるものと見られる。今後、Appleから提供される情報に注目するとともに、アップデートが提供された場合には迅速に適用することが望まれる。