JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は12月20日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#95417700: 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性」において、Appleプロダクトの脆弱性について伝えた。この脆弱性は、ファームウェアのアップデートなどで修正することはできないとされており、対策としては、脆弱性の存在しない製品へ移行することが推奨されている。

プロセッサチップA5からA11を搭載する次のプロダクトが、この脆弱性の影響を受けるとされている。

  • iPhones 4sからiPhone Xまで
  • iPad 第2世代から第7世代まで
  • iPad Mini 第2世代および第3世代
  • iPad AirおよびiPad Air 2
  • iPad Pro 10.5インチおよび12.9インチ第2世代
  • Apple Watch Series 1からSeries 3まで
  • Apple TV 第3世代および4k
  • iPod Touch 第5世代から第7世代
  • JVNVU#95417700: 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性

    JVNVU#95417700: 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性

上記のプロダクト以外であっても、脆弱性を抱えるプロセッサを使っている製品は影響を受けるとされており注意が必要。A12以降のプロセッサチップを使用しているiPhone X、iPhone XR、iPhone 11シリーズ、iPad Pro 12.9インチ第3世代は、この脆弱性の影響を受けないという。

この脆弱性を悪用された場合、プロダクトに物理的にアクセス可能な第三者によって任意のコードが実行されるおそれがある。この脆弱性は読み取り専用のSecureROMにあるためファームウェアのアップデートといった手段で対策することができず、JPCERT/CCは脆弱性を含まないプロダクトへ移行することを推奨している。