Apple、悪意のあるHomeKitデバイスを登録するとiPhoneの動作が不安定になり、デバイスを復元してもiCloud同期で再び問題が発生してしまうゼロデイ脆弱性を修正した「iOS/iPadOS 15.2.1」をリリース。

CVE-2022-22588を修正したiOS 15.2.1 iOS15
記事内に広告が含まれています。
スポンサーリンク

 Appleが悪意のあるHomeKitデバイスを登録するとiPhoneの動作が不安定になり、デバイスを復元してもiCloud同期で再び問題が発生してしまうゼロデイ脆弱性を修正した「iOS/iPadOS 15.2.1」をリリースしています。詳細は以下から。

iOS 15

 Appleは現地時間2022年01月12日、このiOS 15/iPadOS 15デバイス向けに、悪意のあるHomeKitデバイスを登録することでiPhoneが使用できなくなってしまう可能性のあるゼロデイ脆弱性を修正した「iOS 15.2.1/iPadOS 15.2.1」をリリースしています。

CVE-2022-22588を修正したiOS 15.2.1

初期リリースではリリースノートは記載されていませんでした。

 iOS/iPadOS 15.2.1の初期リリースではリリースノートの記載されていなかったため調べてみたところ、今回のアップデートではiCloudリンクを使用して送信された写真がメッセージでロードできない問題と、サードパーティ製のCarPlayアプリの入力ができない問題が修正されたほか、Trevor Spiniolas(@TrevorSpiniolas)さんによって発見されたHomeKitの脆弱性CVE-2022-22588が修正されたそうです。

About the security content of iOS 15.2.1 and iPadOS 15.2.1

 今回のアップデートで焦点となっているのは、このCVE-2022-22588脆弱性で、発見者のSpiniolasさんによると、この脆弱性は50万文字以上の名前がつけられたHomeKitデバイスをiOSデバイスで処理すると、iPhoneの動作が不安定&再起動を繰り返す事が確認されており、

When the name of a HomeKit device is changed to a large string (500,000 characters in testing), any device with an affected iOS version installed that loads the string will be disrupted, even after rebooting. Restoring a device and signing back into the iCloud account linked to the HomeKit device will again trigger the bug. There are two main scenarios that may occur afterwards, as outlined in the “Effects” section of this document.

DoorLock – Trevor Spiniolas

この問題の影響を受けるのは対象のiPhoneだけではなく、メッセージを通じてHomeKitデバイスへのアクセス許可を送られたユーザーのiPhoneも同様で、さらに問題を解決しようとiPhoneを復元してもHomeKitが登録されたiCloudアカウントから復元すると再びこの脆弱性に陥るそうです。

 Spiniolasさんは2021年08月にこの脆弱性をAppleに報告し、Appleからは2022年までにセキュリティアップデートで脆弱性を修正すると返事があったものの、その後2022年初頭にスケジュールが変更されたため、この脆弱性のリスクを知らないまま放置されることは問題だとして2022年01月01日に脆弱性を公開するとAppleに通知し、今回「doorLock」としてPoCを含め全てをGitHubなどで公開したそうです。

About doorLock

 この脆弱性の影響する範囲は少なくともiOS 14.7以降のすべてのiOS/iPadOSデバイスで、AppleはiOS 15以降、iOS 14のセキュリティアップデートも継続しているため、今後iOS 14にもセキュリティアップデートが提供されると思われますが、少なくともiOS/iPadOS 15.2ユーザーの方はアップデートしない理由が見当たらないので、時間を見つけてアップデートする事をおすすめします。

iOS 15.2.1 and iPadOS 15.2.1

  • Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
  • Impact: Processing a maliciously crafted HomeKit accessory name may cause a denial of service
  • Description: A resource exhaustion issue was addressed with improved input validation.
  • CVE-2022-22588: Trevor Spiniolas (@TrevorSpiniolas)

コメント

タイトルとURLをコピーしました