iPhone4s〜Xなど、A5〜A11搭載製品にアップデートで修正不能な脆弱性

JPCERT コーディネーションセンター（JPCERT/CC）は12月20日、A5からA11プロセッサを搭載したiPhoneやiPad、Apple WatchなどのApple製品に脆弱性が存在すると発表しました。iPhoneシリーズではiPhone4sからiPhone Xが影響を受けます。 A5からA11プロセッサ搭載の製品に脆弱性 JPCERT/CCは、A5からA11のプロセッサを搭載する複数のApple製品で、SecureROM（ブートROMレベル）に、デバイス起動時において解放済みのメモリ使用 (use-after-free) の脆弱性（CWE-416）が存在する、と注意を呼びかけています。 この脆弱性の影響としては、デバイスに物理的にアクセス可能な第三者によって、任意のコードが実行される可能性があります。 アップデートによる対策不可 通常の脆弱性は、OSのアップデートによって対応可

[hatophone]

たまに、場所取りのために誰もいないテーブルにiPhoneを放置してる人がいるけど、やめた方がいいと思う。

[IGA-OS]

“この脆弱性は(中略)デバイスファームウェアアップデート（DFU）モードにする必要がある”信用できないケーブルを挿しちゃダメ

[kunigaku]

修正不能なjailbreak方法が見つかったってことか? / これか https://www.itmedia.co.jp/news/articles/1909/30/news065.html

[fashi]

2ヶ月前から脱獄に利用されてるcheckm8とは別なの？ //「checkm8 is a public exploit for this vulnerability.」てなってるから同じだな

[mnox]

会社の端末を買い換える大義名分ができたw

[sotokichi]

きっつー

[circled]

checkm8の問題点として物理アクセスがないと使えない点と、再起動の度に元に戻るので、仮にこの脆弱性を利用されても、再起動すれば元に戻るから意味ない点。ジェイルブレイクしたい人専用でしかない。

[iwanofsky]

コネクタ廃止にしたい理由がこれかな？

[hoshinekodou]

一瞬ドキッとしたけど実害ないね。スタバなりフードコートなりでiPhone置きっぱは怖くて出来ないし。来年の第一四半期とかいう新型まで6Sで粘り腰続行

[impreza98]

iPhoneは大丈夫だけど手持ちのiPad ProとAirはもろ対象機だな。滅多に家から持ち出さないからまあ良いけど

[kagobon]

Appleタイマーかな？

[poad1010]

実害はないやつね。 古いAndroid端末でもあるようなやつ。

[petitbang]

Appleが防げない脱獄方法が見つかったって以前話題になったやつか。DFUモードにする必要があるなら日常の使用での影響はほぼなさそうか。盗難品のアクティベーションロックがこれで迂回されるならちょっと怖いかも。

[wkoichi]

“この脆弱性は、iPhoneなどのデバイスをコンピュータに接続した状態で起動し、デバイスファームウェアアップデート（DFU）モードにする必要があるため、通常の使用で影響を受ける可能性は低いと考えられます。”

[nisisinjuku]

よし、買い替えだ！（僕は11Proなので高みの見物）

[m_yanagisawa]

4SはともかくXまでもか！新製品買わせるためかな？（んなわけは…