(cache)Apple、Wi-FiのWPA2に関する脆弱性「KRACK」の情報をアップデートし、4-wayハンドシェイクに関する一部の脆弱性はiPhone 7以下に影響しないと発表。

　AppleがWi-FiのWPA2に関する脆弱性「KRACK」の情報をアップデートし、4-wayハンドシェイクに関する一部の脆弱性はiPhone 7以下に影響しないと発表しています。詳細は以下から。

　Appleは現地時間2017年11月03日、iPhone Xの発売と合わせて10月31日にリリースした「iOS 11.1」のセキュリティコンテンツ情報をアップデートし、ベルギーのルーヴェン・カトリック大学のMathy Vanhoefさんによって発見されたWi-FiのWPA2に関する脆弱性KRACK(Key Reinstallation AttaCK)の一部はiPhone 7や6s/6シリーズ, iPhone SE/5s, iPad Air, 第6世代iPod Touch以下のデバイスに影響しないとコメントしています。

Wi-Fi

Available for: iPhone 8, iPhone 8 Plus, and iPhone X

Not impacted: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air and later, and iPod Touch 6th generation

Impact: An attacker in Wi-Fi range may force nonce reuse in WPA unicast/PTK clients (Key Reinstallation Attacks KRACK)

Description: A logic issue existed in the handling of state transitions. This was addressed with improved state management.

CVE-2017-13077: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

CVE-2017-13078: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

About the security content of iOS 11.1 – Apple Support

　新たに公開されたセキュリティコンテンツによると、iPhone 7以下のデバイスに影響しない脆弱性は4-wayハンドシェイクの実行中にペア/グループキー(PTK-TK/GTK)が再インストールされる脆弱性CVE-2017-13077およびCVE-2017-13078で、11月2日にVanhoefさんがCCS 2017で発表したKRACKスライドや事前に公開されていた論文(Table 1)にもこのことが記載されています。

Slides of my presentation at #CCS17 on the #KRACK attack: key reinstallation attacks against WPA2

Mathy Vanhoefさんのツイート – Twitter

現在の対応

　公開が前後したことで「AppleはiPhone 7以降にKRACKへの対応をしないのか？」という議論がReddit などで起こり、PC Watchさんにも機種が限定されているという主旨の記事が出ているというご指摘をいただきましたが、セキュリティコンテンツを見る限りでは以下の様に「影響しない」または「修正済」となっている様です。

CVE-2017-13077/CVE-2017-13078

iPhone 8/8 Plus/XはiOS 11.1で修正済。
iPhone 7, iPad Air, 第6世代iPod Touch/Apple Watch/第4世代Apple TVには影響しない。

CVE-2017-13080

iPhone 7, iPad Pro 9.7インチ(Early 2016)モデル以降/Apple Watch Series 1およびSeries 2/Apple TV 4Kで修正済。

KRACKの残りの脆弱性についての対応は記載されていませんが、Appleは同時にOS X El Capitan 10.11.6 ~ macOS 10.13.1/watchOS 4.1/tvOS 11.1のセキュリティコンテンツもアップデートしているので、PC Watchさんに連絡が取れる方は教えてあげて下さい。

About the security content of iOS 11.1 – Apple Support
About the security content of tvOS 11.1 – Apple Support
About the security content of watchOS 4.1 – Apple Support
About the security content of macOS High Sierra 10.13.1, Security Update 2017-001 Sierra, and Security Update 2017-004 El Capitan – Apple Support
Apple、WPA2暗号化の脆弱性を修正した「iOS 11.1」、ただし機種限定 – PC Watch