Apple、Wi-FiのWPA2に関する脆弱性「KRACK」の情報をアップデートし、4-wayハンドシェイクに関する一部の脆弱性はiPhone 7以下に影響しないと発表。

スポンサーリンク

 AppleがWi-FiのWPA2に関する脆弱性「KRACK」の情報をアップデートし、4-wayハンドシェイクに関する一部の脆弱性はiPhone 7以下に影響しないと発表しています。詳細は以下から。


 Appleは現地時間2017年11月03日、iPhone Xの発売と合わせて10月31日にリリースした「iOS 11.1」のセキュリティコンテンツ情報をアップデートし、ベルギーのルーヴェン・カトリック大学のMathy Vanhoefさんによって発見されたWi-FiのWPA2に関する脆弱性KRACK(Key Reinstallation AttaCK)の一部はiPhone 7や6s/6シリーズ, iPhone SE/5s, iPad Air, 第6世代iPod Touch以下のデバイスに影響しないとコメントしています。

Wi-Fi

  • Available for: iPhone 8, iPhone 8 Plus, and iPhone X
  • Not impacted: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air and later, and iPod Touch 6th generation
  • Impact: An attacker in Wi-Fi range may force nonce reuse in WPA unicast/PTK clients (Key Reinstallation Attacks KRACK)
  • Description: A logic issue existed in the handling of state transitions. This was addressed with improved state management.
  • CVE-2017-13077: Mathy Vanhoef of the imec-DistriNet group at KU Leuven
  • CVE-2017-13078: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

About the security content of iOS 11.1 – Apple Support

 新たに公開されたセキュリティコンテンツによると、iPhone 7以下のデバイスに影響しない脆弱性は4-wayハンドシェイクの実行中にペア/グループキー(PTK-TK/GTK)が再インストールされる脆弱性CVE-2017-13077およびCVE-2017-13078で、11月2日にVanhoefさんがCCS 2017で発表したKRACKスライドや事前に公開されていた論文(Table 1)にもこのことが記載されています。

Mathy Vanhoefさんが公開したKRACKのスライド

Slides of my presentation at #CCS17 on the #KRACK attack: key reinstallation attacks against WPA2

Mathy Vanhoefさんのツイート – Twitter

スポンサーリンク

現在の対応

 公開が前後したことで「AppleはiPhone 7以降にKRACKへの対応をしないのか?」という議論がRedditなどで起こり、PC Watchさんにも機種が限定されているという主旨の記事が出ているというご指摘をいただきましたが、セキュリティコンテンツを見る限りでは以下の様に「影響しない」または「修正済」となっている様です。

  • CVE-2017-13077/CVE-2017-13078
    • iPhone 8/8 Plus/XはiOS 11.1で修正済。
    • iPhone 7, iPad Air, 第6世代iPod Touch/Apple Watch/第4世代Apple TVには影響しない。
  • CVE-2017-13080
    • iPhone 7, iPad Pro 9.7インチ(Early 2016)モデル以降/Apple Watch Series 1およびSeries 2/Apple TV 4Kで修正済。
KRACKの残りの脆弱性についての対応は記載されていませんが、Appleは同時にOS X El Capitan 10.11.6 ~ macOS 10.13.1/watchOS 4.1/tvOS 11.1のセキュリティコンテンツもアップデートしているので、PC Watchさんに連絡が取れる方は教えてあげて下さい。

コメント

  1. 匿名 より:

    https://pc.watch.impress.co.jp/docs/news/1089340.html
    https://internet.watch.impress.co.jp/docs/news/1089292.html
    11月5日(日)の夜にPC WatchとINTERNET Watchの問い合わせメールアドレスへ、この記事のリンクを貼ったメールを送ってみました。
    11月6日(月)時点でINTERNET Watchの方には追記され、PC Watchではまだ追記されていないようです。

    • applech2 より:

      ご協力頂いてありがとうございます。
      残りのKRACK脆弱性についても米ArsがAppleに直接問い合わせたようなので、そのうちアップデートされるかもしれません。
      ttps://arstechnica.com/gadgets/2017/10/apple-releases-macos-10-13-1-and-ios-11-1-with-a-krack-fix-and-new-emoji/
      >Update: As Ars readers have pointed out, Apple’s support documentation states that the iOS KRACK fix is available for iPhone 7 and later, and for the early 2016, 9.7-inch iPad Pro and later. It is unclear whether this means previous devices are still vulnerable, or they had previously not been vulnerable and thus didn’t need an update. Ars has reached out to Apple for comment.