Zerodium、iOSのエクスプロイトが多すぎて買取を一時停止 74
ストーリー by headless
大杉 部門より
大杉 部門より
ゼロデイ脆弱性を利用したエクスプロイトを高額で買い取るZerodiumは13日、特定の攻撃ベクターによるiOSのエクスプロイトは今後2~3か月買い取らないと発表した(Zerodiumのツイート、 The Registerの記事、 Mac Rumorsの記事)。
買取停止の対象となる攻撃ベクターはiOSのローカルでの権限昇格(LPE)、Safariのリモートコード実行(RCE)、サンドボックス迂回の3種類。これらの攻撃ベクターに関連するエクスプロイトが多数送られていることが買取停止の理由だという。Safariを使用するものなどユーザーの操作が必要なエクスプロイトで、任意のアプリを永続的にインストールできないものについては、近く買取価格を引き下げる可能性が高いとのこと。
Safari RCEとサンドボックス迂回はiOS限定とは明記されていないが、Zerodium CEOのChaouki Bekrar氏は同日Zerodiumのツイートを引用し、iOSのセキュリティが大幅に低下しているとツイートした。Bekrar氏はポインタ認証コード(PAC)を迂回するエクスプロイトを数多く目にしており、任意アプリの永続的なインストールが可能なゼロデイエクスプロイトも複数存在するそうだ。Bekrar氏はiOS 14での改善を期待しているとも述べている。
買取停止の対象となる攻撃ベクターはiOSのローカルでの権限昇格(LPE)、Safariのリモートコード実行(RCE)、サンドボックス迂回の3種類。これらの攻撃ベクターに関連するエクスプロイトが多数送られていることが買取停止の理由だという。Safariを使用するものなどユーザーの操作が必要なエクスプロイトで、任意のアプリを永続的にインストールできないものについては、近く買取価格を引き下げる可能性が高いとのこと。
Safari RCEとサンドボックス迂回はiOS限定とは明記されていないが、Zerodium CEOのChaouki Bekrar氏は同日Zerodiumのツイートを引用し、iOSのセキュリティが大幅に低下しているとツイートした。Bekrar氏はポインタ認証コード(PAC)を迂回するエクスプロイトを数多く目にしており、任意アプリの永続的なインストールが可能なゼロデイエクスプロイトも複数存在するそうだ。Bekrar氏はiOS 14での改善を期待しているとも述べている。
JIT (スコア:0)
エクスプロイトは場所は取らないから在庫のコストはないけど、ほっといたら穴を塞がれて価値がなくなってしまうかもしれないからなあ。
塞がれたときのことを考えると、複数、穴はあったほうがいいが、それ以上抱えていても、無効になるリスクをしょい込むだけだからなあ。
Re: (スコア:0)
ダークウェブで売り捌くならいくら買い取っても構わないんだけど、ZERODIUMのビジネスモデルは政府・研究機関相手のサブスクリプションみたいだからね。収入が一定額なのに支出だけ増えても採算が合わない。
Re: (スコア:0)
ソース
Re:JIT (スコア:1)
どの部分に関するソースが欲しいのか分からんけど公式のZERODIUM Zero-Day Research Feedの説明
Google翻訳
https://zerodium.com/solutions.html [zerodium.com]
Re: (スコア:0)
会話に付いていけないと解説ほしさに「ソース」とだけコールする人が先週あたりから湧いてますね。
Re: (スコア:0)
昔のネットでは調べれば分かることを聞く奴はボコボコに叩かれたもんじゃがのう
知識の取り込みを怠って時代に後れると相手に物をねだる以外のことができなくなるのかもしれんのう
Re: (スコア:0)
昔はググればそれなりに有用なページがヒットしたからな。
今はもうゴミクズばかりのリストを示される。
Re: (スコア:0)
今も昔もアフィライターが短時間で記事を作れないニッチな分野は、検索結果変わりませんよ。
小学生のパソコンの時間に検索して欲しい情報を探す時間があるので、うまく使いこなせるかだけですね。
情報を探せなかっただけで、人生の分かれ道ですよ。
Re: (スコア:0)
inqtelとか知らん人?
今は昔 (スコア:0)
MacはWindowsに比べて安全だ!(普及台数的に相手にさなかっただけ)
普及すれば当然こうなると
Re: (スコア:0)
今でもシェアが6~7%台しかないから文の前後で矛盾してる。
https://gigazine.net/news/20200114-pc-volumes-2019-q4/ [gigazine.net]
Re: (スコア:0)
今の Mac ってそんな不自由なことになってるのか.
Re: (スコア:0)
んなこたない。デフォルト設定では署名されてるプログラムは普通に起動する。
https://support.apple.com/ja-jp/HT202491 [apple.com]
Re: (スコア:0)
自分の通信を傍受できないから、解析やクラッシュレポートや広告でプライバシー侵害されていることに気が付かないんだな。
Re: (スコア:0)
iOSとMacOSの区別が付かない文盲多過ぎひんか
Re: (スコア:0)
スマホはガラケーと違って、WindowsとMac(OSX)がローカル通信や同期をする機能を標準で備えているので。
Re: (スコア:0)
……???
文盲さんはWindowsやMac(OSX)とローカル通信や同期をする機能を標準で備えているって言いたいの?
いやまあそれは事実だけどアプリに互換性はないからこの話には関係ないよね?
Re: (スコア:0)
ナントカが20違う例
Re: (スコア:0)
Windows だとウイルスチェックとか関係なく十分なユーザー数が利用してないexeや、zipファイル開こうとすると、警告でてそのままじゃ実行できないよ。
たいていの人にとっては、世間一般で未知のファイルはダウンロードしても開けない。
Re: (スコア:0)
自分で作ったHello Worldとか動かないってこと?
Re: (スコア:0)
ネットから落としてきたものじゃなければ大丈夫。
警告出た場合も絶対に実行できないわけじゃなくて、ダイアログの隅にひっそりと表示されてるリンクを選んで更にもう一回ぐらい手順を踏めば実行できる。
わざとわかりにくくしてあるからググることできない初心者は実行できずに諦めると思う。
日本のTeir1 Writerがどう反応するのか楽しみ (スコア:0)
とはいえ、iさんはNK印から外れているのでどーすんだろ?
MacOSはいつまで*nixでいられるのか (スコア:0)
Homebrewあるから大丈夫とか言ってても
放置されまくりのrubyやいきなりzshになったCatalinaを見てると
ARM版MacがスタンダードになったあたりでUNIXライクツールが一切合切リストラされて
たとえXcodeやCLT入れてもクールな監獄のままになってしまいそう
iOS化したMacOSというか、iOSとMacOSの統合みたいな…
“脱獄”しなきゃbrewのインストールもままならないレベル
Re: (スコア:0)
Macでネイティブアプリを書いたことがないのでご存知なら教えて頂きたいのですが、
POSIX準拠のシステムコールとかC言語のライブラリ関数は最近のAppだと使われないのですか?
それらとコンパイラツールセットさえ残っていれば、どうにでもなりそうに思います。
Re: (スコア:0)
bashを放置せずにzshへの変更というかなり前向きな動きを見てUNIXツールの総リストラを予想するの被害妄想にもほどがあるんじゃないかな。
Re: (スコア:0)
これからの時代UNIXユーザーランドを使いたいならWSL2使えばいいんやないの。
やばいApple (スコア:0)
不自由ソフトウェアによる迫害の例。iOS,iPhone,iPadは防護されない。
Re:信者は (スコア:1)
>デザインしかわからない
デザインが本当にわかってる奴はApple製品選ばないだろ
Re:信者は (スコア:1)
iPad ProとApple Watchはデザイン的には及第点以上あると思いますけどね
Re: (スコア:0)
Apple Watchはダサいだろ。
流行らないのは使い道が無いのと見た目がダサくて恥ずかしいから。
Re:信者は (スコア:1)
例えばRamsのBraunシェーバーやPENTAXのK-01などもおもちゃっぽいですが
好みの問題を別にすれば、それをもってデザインとして減点・高級感がないという事にはならないと思います
もちろん、少しソリッドな(iPadProによせた)デザインの選択肢があっても良いと思います
Re:信者は (スコア:1)
iPadProやAppleWatchはバウハウスやRamsの系統から大きく外れていない真面目で地味なデザインなので
デザインを見る人ならばブランドで選ぶ人(信者?)と違い概ね僕と似た評価になると思います
Re:信者は (スコア:1)
デザインがわかっていないボクちゃんに教えてあげるけど、Apple製品はダサいよ
Re: (スコア:0)
> 選ぶのは、デザインのことが完璧にわかる選ばれし人のみ。
テレビドラマのことか
テレビドラマをここまで褒める人は生まれて初めて見た
Re: (スコア:0)
これ見てね。
つ https://togetter.com/li/1268851 [togetter.com]
Re:信者は (スコア:1)
(GNU/Linux >) Windows > (OSX >) iOS ≒ Android
これに気が付かず目糞鼻糞の争いを始め、Androidしか敵を見つけられない盲目の信者。
このような信者は全ての批判に対して、とても小さな問題が全てであるように捉え、他のそれより大きな問題を無視するだろう。
iOSの個別の欠陥を知りたいなら、過去記事のこのコメントでも読んでなさい。
https://srad.jp/comment/3804660 [srad.jp]
他にも
Re: (スコア:0)
Re: (スコア:0)
マルウェアは脆弱性を狙うより、与えられたAPIの範囲内で悪事を働く、ってのが普通じゃない?
顕現撮りまくって情報を外に持ち出すとか。
脆弱性つくようなものはGooglePlay外でやってくるだろ。
Re:信者は (スコア:1)
どこのファンタジー世界から来たのか
Re: (スコア:0)
大丈夫です、安心してください。
Re: (スコア:0)
つまり、ウイルスやマルウェアが来たら防ぐようなことはしないどころか、
自動でウイルスやマルウェアを探してきて感染する先進的なOSなのかな?
Re: (スコア:0)
iOSみたいに致命的な欠陥じゃないと買ってもらえないんだなぁ。
でもiOSの欠陥があまりにも多すぎて値を上げてしまった、と
Re: (スコア:0)
そういえばApple製品の買い取り相場は高いですね。
Appleユーザーは中身ではなく名前を買っているというのが良く分かる現象。
Re: (スコア:0)
スラドに小学生が迷い込んだのかな?
スラドには気持ち悪い右翼おじさんと、気持ち悪いパソコンオタクがうじゃうじゃ現れるから来ないほうがいいよ。
Re: (スコア:0)
いくらなんでも煽り耐性なさすぎだろ
Re: (スコア:0)
煽りとか、どこの匿名掲示板の文化なんだよ。
Re: (スコア:0)
信者ですらスタバでMacが気持ち悪いことに気がついてしまって、もう見かけることはできなくなった。
Re: (スコア:0)
スタバエアプw
Re: (スコア:0)
今閉店してますからね。
Re: (スコア:0)
えっwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
スタバが閉店していたらMacを持つ必要がないwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
信w者w超w絶w核w爆wwwwwwwwwww、無w様wにw散wれwwwwwwwwwwwwwwwwwwwww