CVE-2023-32434 Exploited: PoC Unlocks Full Command of iOS Devices
2024/01/02 SecurityOnline — iOS のゼロデイ脆弱性 CVE-2023-32434 の、PoC (Proof-of-Concept) エクスプロイトが公開された。Apple は、2023年6月に iOS 16.5.1/iPadOS 16.5.1 をリリースして、すでに2つのゼロデイ脆弱性に対処している。それらの脆弱性 CVE-2023-32434 (Kernel における整数オーバーフローの脆弱性)/CVE-2023-32439 (WebKit におけるメモリ破損の脆弱性) は、アプリケーションがカーネル特権を用いて、任意のコードを実行する可能性があるという、厳しい現実を突きつけるものだ。これは単なる専門的な表現ではなく、攻撃者がシステムのコアに深く侵入して、デバイスを完全に制御するという、顕著な兆候を示している。
Apple は、「iOS 15.7 未満のバージョンに対して、この脆弱性が積極的に悪用された可能性があるという報告を受けている」と述べている。これらの脆弱性が、iOS 15.7 未満で積極的に悪用される可能性があると、Apple が認めたことは、事態の深刻さを物語っている。
これらの欠陥の複雑さに精通している Poulin-Belanger は、脆弱性 CVE-2023-32434 の連鎖によるカーネル特権でのコード実行を証明しただけではなく、技術的な詳細も公開している。その背景にある2つの目的は、技術コミュニティを啓蒙すること、そして、責任ある団体に強固なセキュリティ対策を促すことである。
彼は公開したドキュメントの中で、「WebContent サンドボックスからアクセス可能であり、積極的に悪用された可能性がある」と説明している。
この PoC エクスプロイトは、iPhone 14 Pro Max 16.3〜16.5 を含む各種の iOS バージョンおよび、MacBook Air M2 2022 の macOS 13.1/13.4 などで厳密にテストされており、この脆弱性の影響が広範に及ぶことが浮き彫りにされている。Poulin-Bélanger が、脆弱性 CVE-2023-32434 に対する PoC エクスプロイトを公開したことは、これらの発見が如何に深刻であるのかを証明するものであり、潜在的なリスクを鮮明に示すものとなっている。
Apple iOS/macOS の脆弱性 脆弱性 CVE-2023-32434/CVE-2023-32439 ですが、アプリケーションがカーネル特権を用いて、任意のコードを実行する可能性があるとのことです。しかも、PoC エクスプロイトも提供されています。NVD で見ると、CVE-2023-32434 の CVSS 値は 7.8 で、CVE-2023-32439 の CVSS 値は 8.8となっていまう。よろしければ、Apple で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.