銀行の Web サイトに接続したり、メール アカウントにログインしたりする際に、何が起こっているかについて気に留める人はわずかでしょう。大半のユーザにとって、アドレス バーに小さな鍵のマークが表示され、Web サイトに安全に接続できていることが確認できれば十分です。しかしバックグラウンドではさまざまな処理が行われており、Web サイトに安全かつ確実に接続し、それらの真偽を確かめるよう万全を期しています。このプロセスには、証明書の検証、つまり接続中のサーバから正当性を証明する「識別情報」を受け取ることも含まれます。これにより、機密情報を盗む可能性のある不正なサーバからユーザを保護するのに役立ちます。
ただしこのプロセスは機密性が高いため、証明書検証のセキュリティに悪影響を与える脆弱性が存在すると大きな影響が出る可能性があります。現実問題としてデジタル システムは複雑であり、ソフトウェアの開発においてバグは避けられません。脆弱性を特定し責任を持って開示することで、潜在的な攻撃経路を排除してインターネット セキュリティの向上に貢献できます。Talos ではインターネット全体のセキュリティを向上させることに全力を傾けています。本日、Apple の macOS と iOS の X.509 証明書検証機能におけるリモート コード実行の脆弱性、TALOS-2017-0296
(CVE-2017-2485)を公開します。この脆弱性はすでに Apple に責任を持って伝えられており、macOS と iOS の両方で問題を修正したソフトウェア アップデートがリリースされています。
脆弱性の詳細
TALOS-2017-0296(CVE-2017-2485)は、Talos の Aleksandar Nikolic が発見しました。
この脆弱性は Apple の macOS および iOS における X.509 証明書検証機能に関するもので、任意のコードが実行される危険性があります。脆弱性の原因は X.509v3 証明書拡張フィールドの不適切な処理方法にあります。特別に細工された X.509 証明書によって脆弱性がトリガーされると、影響を受けるシステムではリモートでコードが実行される危険性があります。
Apple の macOS と iOS では、ほとんどのクライアント アプリケーション(Safari、Mail.app、Google Chrome など)が、組み込まれたシステム証明書検証エージェントを使用して X.509 証明書を検証します。この脆弱性は、悪質な証明書をアプリケーションから証明書検証エージェントに渡すことで引き起こされる可能性があります。エクスプロイトが発生するシナリオとしては、悪意のある証明書をクライアントに提供する Web サイトに接続した場合や、悪意のある証明書を提供するメール サーバに Mail.app から接続した場合、あるいはキーチェーンにインポートしようと悪意のある証明書ファイルを開いた場合などが想定されます。
詳細については、シスコの脆弱性レポートをご覧ください。
macOS Sierra 10.12.3 および iOS 10.2.1 では脆弱性を確認しています。これら以前の MacOS や iOS でも影響を受ける可能性はありますが、Talos では未確認です。
カバレッジ
Talos では、この脆弱性を悪用しようとする試みを検出するため、以下の Snort ルールを開発しました。ただしこのルールは、新しい脆弱性情報が公開された際に変更される可能性があります。最新情報については、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール:41999
お客様を保護する
ソフトウェア開発においてバグは不可避です。デジタル システムの複雑さは増す一方であり、セキュリティに問題があるバグを特定することは重要課題として Talos では今後も取り組み続ける予定です。脆弱性を特定する方法を研究し、責任を持って開示することにより、お客様のネットワークとインターネット全体のセキュリティ向上に貢献します。
Talos が開示した他の脆弱性については、脆弱性報告ポータル(http://www.talosintelligence.com/vulnerability-reports/)をご覧ください。
脆弱性の開示ポリシーについては、こちらのポリシーをご覧ください。
http://www.cisco.com/c/en/us/about/security-center/vendor-vulnerability-policy.html
本稿は 2017年3月27日に Talos Group
Authors