水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > iPhoneがICMP echoで死亡する脆弱性……が分かりにくい

iPhoneがICMP echoで死亡する脆弱性……が分かりにくい

2009年6月19日(金曜日)

iPhoneがICMP echoで死亡する脆弱性……が分かりにくい

公開: 2018年9月23日0時10分頃

こういうお話が。

3箇所のどれを読んでも「細工されたリクエスト」「不正なリクエスト」とあるだけで、どのようなリクエストなのか分かりません。べつに具体的な攻撃方法が知りたいわけではないのですが、HTTPなのか、TCP/IPなのか、それとももっと別のレイヤーのものなのか……といったことさえ分からないのはどうかと思うわけで。

AppleのAbout the security content of iPhone OS 3.0 Software Update (support.apple.com)がリンクされているのですが、こちらは他のバグFixなども大量に列挙されていて、これはこれで分かりにくいです。まあ、探せば良いのですが……というわけで、これですね。

CVE-ID: CVE-2009-1683

Available for: iPhone OS 1.0 through 2.2.1, iPhone OS for iPod touch 1.1 through 2.2.1

Impact: A remote attacker may cause an unexpected device reset

Description: A logic issue in the handling of ICMP echo request packets may cause an assertion to be triggered. By sending a maliciously crafted ICMP echo request packet, a remote attacker may be able to cause an unexpected device reset. This update addresses the issue by removing the assertion. Credit to Masaki Yoshida for reporting this issue.

以上、About the security content of iPhone OS 3.0 Software Update より

細工されたICMP echoで死ぬそうですよ。これはなかなか厳しい感じですね。

※前にもどこかで書いた気がしますが、そもそも「情報セキュリティ早期警戒パートナーシップ」で取り扱った情報をわざわざ3箇所に分けて掲載する意味が分かりません。どれかが一番情報量が多いなら良いのですが、それぞれ欠けている情報があるので困ります。JVNに全部まとめていただけると読みやすいのですが……。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / Apple

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト