[更新]ユーザーインタラクションがゼロのiOSの深刻なセキュリティの脆弱性がAppleMailApp内の野生で積極的に悪用されていることが発見されました

WhatsApp

iPhoneで実行されているオペレーティングシステムであるAppleiOSは、複数の新しいセキュリティの脆弱性に対して脆弱です。欠陥はユーザーの操作を必要としないことに注意するのが心配です。伝えられるところによると、セキュリティの脆弱性は、ユーザーがアクションを実行したり、リンクをクリックしたり、アプリをダウンロードしたりすることなく、完全に実行される可能性があります。ちなみに、 iOS内のこのような深刻な欠陥が発見されたのはこれが初めてではありません 。

本日、AppleiOSオペレーティングシステム内の2つの新しい深刻なセキュリティの脆弱性が明らかになりました。どうやら、iOSのこれらの欠陥により、攻撃者はユーザーの操作なしでiOSを実行しているiPhoneデバイスにアクセスできる可能性があります。さらに重要なことに、リモートで実行される攻撃は、被害者のiPhoneの管理制御を含む可能性のあるリモートコード実行（RCE）を許可する可能性もあります。まだ正式に裏付けられていませんが、新たに発見されたセキュリティの脆弱性が実際に悪用されています。どうやら、Appleはセキュリティ上の欠陥を認識しており、同じパッチを適用するためのアップデートをリリースする予定です。

新たに発見され、積極的に悪用されたセキュリティの脆弱性に対して脆弱なiPhoneデバイス上のApple iOS 6：

Apple iOSオペレーティングシステムで新たに発見されたセキュリティの脆弱性により、攻撃者は被害者のデバイスをリモートで攻撃することができます。さらに、この欠陥により、攻撃者はユーザーの操作なしでiOSデバイスにアクセスできます。攻撃の大部分は、リンクをクリックする、アプリケーションをインストールする、攻撃を開始するためにドキュメントを開くなどのユーザーアクションを必要とします。ただし、この場合、攻撃者は大量のメモリを消費する電子メールを送信し、デバイスでリモートコード実行機能を取得する可能性があります。

日中-脆弱性と攻撃はゼロです。
セキュリティインシデント https://t.co/KAez4d9890

-博士Ezer Osei Yeboah-Boateng（@DrYeboahBoateng） 2020年4月22日

深刻な ユーザーの操作がゼロのiOS内のセキュリティの脆弱性 セキュリティ会社ZecOpsによって発見されました。同社の研究者は、攻撃者がすでにこれらの脆弱性を実際に使用していると主張しています。研究者たちは、標的を特定することなく、新たに発見されたセキュリティ上の欠陥が次の個人を標的にするために首尾よく使用されたと主張しました。

• 北米のフォーチュン500企業の個人
• 日本の航空会社の幹部
• ドイツからのVIP
• サウジアラビアとイスラエルのMSSP
• ヨーロッパのジャーナリスト
• 疑わしい：スイス企業の幹部

iOSは、Appleによって設計および開発された完全にクローズドソースのオペレーティングシステムです。それは厳密に管理および規制されています。 OSはGoogleAndroidほどオープンではありません。 iOSの最新バージョンはiOS13です。ただし、iOS 6以降を実行しているすべてのデバイスは、これらのセキュリティ上の欠陥の影響を受けます。脆弱性を調査しているセキュリティ研究者は、攻撃者がiPhoneを実行しているAppleiOSを危険にさらす方法を明らかにしました。最近のiOSバージョンでは、攻撃は次の方法で実行できます。

• iOS 13への攻撃：メールアプリケーションがバックグラウンドで開かれている場合のiOS 13への支援なし（/ゼロクリック）攻撃
• iOS 12での攻撃：攻撃にはメールをクリックする必要があります。攻撃は、コンテンツをレンダリングする前にトリガーされます。ユーザーはメール自体に異常に気付くことはありません
• 攻撃者がメールサーバーを制御すると、iOS 12での支援なしの攻撃がトリガーされる可能性があります（ゼロクリックとも呼ばれます）。

研究者はiOSメールアプリに2つのセキュリティの脆弱性を発見しました。Appleはパッチに取り組んでいます https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev

—iPhoneDoctor（@Mr_iPhoneDoctor） 2020年4月22日

Appleが今後のアップデートでセキュリティの脆弱性にパッチを当てる：

研究者たちは、AppleがiOSのこれらのセキュリティ上の欠陥を認識していると主張している。彼らは、AppleがiOSのインクリメンタルアップデートをリリースする予定であり、これには脆弱性にパッチを当てる修正が含まれると付け加えた。ただし、Appleがアップデートをリリースするまでは、セキュリティバグの標的になったり被害者になったりすることを回避する方法があります。

iPhoneとiPadデバイスに影響を与える2つのゼロデイ脆弱性が、サイバーセキュリティのスタートアップZecOpsによって、iOを標的とした一連の進行中のリモート攻撃の発見後に発見されました… @BleepinComputer #security #tech #WednesdayWisdom https://t.co/2lHdxMOmfh

— AJダーリング（@Gurgling_MrD） 2020年4月22日

研究者は、Apple MailAppを完全に避けるようにアドバイスしています。これは、Appleによって設計、開発、および保守されている電子メールプラットフォームです。ちなみに、メールアプリはGmailやOutlookなどのサードパーティのメールアカウントをサポートしています。したがって、Appleがバグを修正するアップデートをリリースするまで、ユーザーはMicrosoftOutlookアプリまたは他の同様のメールクライアントに依存できます。

[更新] Appleは、Apple MailApp内の2つのセキュリティ脆弱性にパッチを当てるアップデートをリリースしたと報じられています。

AppleがiOS13.4.5ベータ版のメールアプリに影響を与える2つのセキュリティ脆弱性にパッチを当てる https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs

-MacHash（@MacHashNews） 2020年4月22日