Google Project ZeroがmacOS Sierra 10.12.6やiOS 10.3.3で修正されたlibxpcの脆弱性を来週にも公開すると発表しています。詳細は以下から。
Appleは本日、「macOS Sierra 10.12.6」や「iOS 10.3.3」などを正式にリリースしましたが、Google Project Zeroチームに所属しているセキュリティ研究者のBen Hawkesさんが、macOS 10.12.5やOS X El Capitan 10.11.6、iOS 10.3.2に存在する脆弱性CVE-2017-7047を来週にも公開するとツイートしています。
iOS 10.3.3 fixes CVE-2017-7047. If you’re interested in userspace research on iOS, keep a device on 10.3.2 or below. Tool release next week.
— Ben Hawkes (@benhawkes) 2017年7月19日
libxpc
- Available for: macOS Sierra 10.12.5 and OS X El Capitan 10.11.6/iPhone 5 and later, iPad 4th generation and later, and iPod touch 6th generation
- Impact: An application may be able to execute arbitrary code with system privileges
- Description: A memory corruption issue was addressed with improved memory handling.
- CVE-2017-7047: Ian Beer of Google Project Zero
About the security content of macOS Sierra 10.12.6, Security Update 2017-003 El Capitan, and Security Update 2017-003 Yosemite – Apple Support, About the security content of iOS 10.3.3 – Apple サポート
CVE-2017-7047はアプリケにシステム権限を取得され、任意のコードを実行される可能性のあるlibxpcの脆弱性で、クレジットされているIan Beerさんは過去にもiOS 10.1.1の権限昇格脆弱性を公開しているので、興味のある方はOSをアップデートせずに来週のGoogle Project Zeroブログエントリーをチェックしてみて下さい。
- Project Zero – Google
コメント
なんだ、iOS 10.3.3で修正された脆弱か。
タイトルの読み方によっては10.3.3の脆弱性のようにも読めるので紛らわしい…。
また貴重な脱獄用の穴が…