AppleはOS X El Capitan v10.11.6およびiOS v9.3.3でFaceTimeの通話が盗聴される恐れのある脆弱性を修正したと発表しています。詳細は以下から。
IntegoやThe Registerによると、Appleは昨日公開したOS X El Capitan v10.11 および iOS v9.3.3内で「アクセス制限のあるネットワークポジション内にいる悪意のある攻撃者が、通話が終わったFaceTimeのオーディオを引き続き転送(盗聴)できる」という興味深い脆弱性が修正されているのが発見されたそうです。
iOS 9.3.3 Fixes Flaw That Allowed Attackers to #FaceTime Eavesdrop https://t.co/zv9dYy3mqa #Apple #Vulnerability pic.twitter.com/VB7CkHsHVW
— Intego Mac Security (@IntegoSecurity) 2016年7月19日
Among the most startling vulnerabilities addressed in the updates is a man-in-the-middle flaw discovered in FaceTime by researcher Martin Vigo. That flaw, CVE-2016-4635, would allow an attacker who had access to network traffic to eavesdrop on the audio portion of FaceTime calls even after the user had been told a call had ended.
Apple kills eavesdrop bug in FaceTime – The Register
影響のあるAppleデバイス
セキュリティコンテンツによると、この脆弱性はiOS 9.3.2を搭載したiPhone 4s以降のiPhone, 第5世代iPod touch以降のiPod touch, iPad 2以降のiPadシリーズおよびOS X El Capitan 10.11~10.11.5を搭載した全てのMacに存在し、
Available for: iPhone 4s and later, iPod touch (5th generation) and later, iPad 2 and later
Available for: OS X El Capitan v10.11 and laterImpact: An attacker in a privileged network position may be able to cause a relayed call to continue transmitting audio while appearing as if the call terminated
Description: User interface inconsistencies existed in the handling of relayed calls. These issues were addressed through improved FaceTime display logic.
CVE-2016-4635 : Martin VigoAbout the security content of iOS 9.3.3
About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004
発見者のMartin Vigoさんによると、Appleは今回修正したCVE-2016-4635以外にもまだFaceTimeに関わる複数の脆弱性を修正するために動いているようで、この脆弱性の詳細が明らかになるのはもう暫く掛かるようです。
@brokenfuses Indeed!You were 30 days faster than Apple in providing an update.Did not disclose yet bcs other related vulns still to be fixed
— Martin Vigo (@martin_vigo) 2016年7月18日
- About the security content of iOS 9.3.3 – Apple Support
- About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004 – Apple Support
コメント