2017年12月7日 13:51
Appleが12月2日付でリリースした「iOS 11.2」において、「KRACKs」と呼ばれるWPA2/WPAにおける脆弱性が、iPhone 6s/6/SE/5sやiPad Air、iPad miniなどでも修正された。同社が6日に更新したセキュリティ情報から明らかになった。
KRACKsは、広範な無線LAN機器で利用されているWPA2/WPAにおいて、アクセスポイント接続時のハンドシェイク処理における脆弱性で、CVE番号ベースで10件の脆弱性「CVE-2017-13077~13088」からなる。クライアント(Wi-Fi子機)側のソフトウェアやファームウェアのアップデートで対処が可能だ。
修正されたのは、WPA2の認証手続きの1つで、通信トラフィックを暗号化する「キー(鍵)」の生成時に使用される「4-way handshake」における脆弱性「CVE-2017-13080」。暗号化時に鍵とともに、本来はセキュリティ保護のためにその都度生成されるはずの補助的変数「nonce」が何度も再利用される恐れがあるものとなる。
すでにAppleでは、10月31日にリリースした「iOS 11.1」において、iPhone 7以降とiPad Pro(9.7-inch)(Early 2016)以降を対象に、CVE-2017-13080の脆弱性を修正していた。
今回、それよりも古い機種であるiPhone 6s Plus/6s/6 Plus/6/SE/5s、12.9-inch iPad Pro第1世代、iPad Air2/Air、iPad第5世代、iPad mini 4/3/2、iPod touch第6世代においても、CVE-2017-13080の脆弱性が修正されたかたちになる。
なお、iOS 11.1では、KRACKs脆弱性のうち、4-way Handshakeにおいて、ペア暗号鍵(PTK)を再利用可能な脆弱性「CVE-2017-13077」と、同じくグループ鍵(GTK)を再利用可能な脆弱性「CVE-2017-13078」についても修正していたが、対象となるのはiPhone X/8 Plus/8のみで、Appleのセキュリティ情報ではiPhone 5s以降、iPad第5世代、iPadmini 2以降などでは対象外と明言されている。
このほか、watchOSでも同様に、「watchOS 4.1」が10月31日にされた当初は Apple Watch Series 1/2のみがCVE-2017-13080の修正対象とされていたが、12月4日にリリースされた「watchOS 11.2」では、初代Apple WatchとApple Watch Series 3でも修正されている。
また、tvOSでも同様に、「tvOS 11.1」が10月31日にリリースされた当初はApple TV 4KのみがCVE-2017-13080の修正対象とされていたが、12月4日にリリースされた「tvOS 11.2」では第4世代以降のApple TVでも修正されている。
