Apple、OS X El Capitan v10.11.6およびiOS v9.3.3でFaceTimeの通話が盗聴される恐れのある脆弱性を修正。

El Capitan

 AppleはOS X El Capitan v10.11.6およびiOS v9.3.3でFaceTimeの通話が盗聴される恐れのある脆弱性を修正したと発表しています。詳細は以下から。


 IntegoやThe Registerによると、Appleは昨日公開したOS X El Capitan v10.11 および iOS v9.3.3内で「アクセス制限のあるネットワークポジション内にいる悪意のある攻撃者が、通話が終わったFaceTimeのオーディオを引き続き転送(盗聴)できる」という興味深い脆弱性が修正されているのが発見されたそうです。

Among the most startling vulnerabilities addressed in the updates is a man-in-the-middle flaw discovered in FaceTime by researcher Martin Vigo. That flaw, CVE-2016-4635, would allow an attacker who had access to network traffic to eavesdrop on the audio portion of FaceTime calls even after the user had been told a call had ended.

Apple kills eavesdrop bug in FaceTime – The Register


 セキュリティコンテンツによると、この脆弱性はiOS 9.3.2を搭載したiPhone 4s以降のiPhone, 第5世代iPod touch以降のiPod touch, iPad 2以降のiPadシリーズおよびOS X El Capitan 10.11~10.11.5を搭載した全てのMacに存在し、


Available for: iPhone 4s and later, iPod touch (5th generation) and later, iPad 2 and later
Available for: OS X El Capitan v10.11 and later

Impact: An attacker in a privileged network position may be able to cause a relayed call to continue transmitting audio while appearing as if the call terminated

Description: User interface inconsistencies existed in the handling of relayed calls. These issues were addressed through improved FaceTime display logic.
CVE-2016-4635 : Martin Vigo

About the security content of iOS 9.3.3
About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004

発見者のMartin Vigoさんによると、Appleは今回修正したCVE-2016-4635以外にもまだFaceTimeに関わる複数の脆弱性を修正するために動いているようで、この脆弱性の詳細が明らかになるのはもう暫く掛かるようです。