WiFi KRACKの脆弱性はiOS用にパッチされていますか?

41

The Guardianの記事で説明されているように、KRPA(Key Reinstallation Attackの略)と呼ばれるWPA2に新しい脆弱性があります。「すべてのWiFiネットワーク」はハッキングに対して脆弱で、セキュリティの専門家が発見します

記事によると:

この脆弱性は、Android、Linux、Apple、Windows、OpenBSD、MediaTek、Linksysなどを含む多くのオペレーティングシステムとデバイスに影響を及ぼします。

これを修正するiOSのセキュリティリリースはありますか?

ios  wifi  security 
ドワイク
ソース
5
近い投票者:この質問は間違いなくここのトピックです。セキュリティの脆弱性管理の内部作業に精通していない限り、調査するのは困難です。基本的に、あなたが知らないことはわかりません。
アラン
5
AirMacファームウェアのアップデートも同様に重要になります!
self.name

回答:

32

2017年10月31日にリリースされた更新

AppleはmacOS、iOS、tvOS、watchOSのKRACK脆弱性の修正を含むアップデートをリリースしました。更新を取得するには:

セキュリティの脆弱性については、パッチが適用されるまでコメントしないことがAppleのポリシーであり、パッチを適用したとしても、多くの場合それについてはあいまいです。

Appleのセキュリティアップデートについて

お客様の保護のため、アップルは調査が行われ、パッチまたはリリースが利用可能になるまで、セキュリティの問題を開示、議論、または確認しません。最近のリリースは、アップルのセキュリティ更新ページにリストされてい ます。

しかし、少し探偵の仕事で、私たちはいくつかの洞察を得ることができます。この特定の脆弱性に割り当てられCVEを見ると、*セキュリティパッチの発行を決定したときにAppleが対処する必要がある問題のリストを取得できます。

  • CVE-2017-13077: 4方向ハンドシェイクでのペアワイズ暗号化キー(PTK-TK)の再インストール。
  • CVE-2017-13078: 4ウェイハンドシェイクでのグループキー(GTK)の再インストール。
  • CVE-2017-13079: 4方向ハンドシェイクでの整合性グループキー(IGTK)の再インストール。
  • CVE-2017-13080:グループキーハンドシェイクでのグループキー(GTK)の再インストール。
  • CVE-2017-13081:グループキーハンドシェイクでの整合性グループキー(IGTK)の再インストール。
  • CVE-2017-13082:再送信された高速BSS移行(FT)再関連付け要求を受け入れ、処理中にペアワイズ暗号化キー(PTK-TK)を再インストールします。
  • CVE-2017-13084: PeerKeyハンドシェイクでのSTKキーの再インストール。
  • CVE-2017-13086:TDLSハンドシェイクでのトンネルダイレクトリンクセットアップ(TDLS)PeerKey(TPK)キーの再インストール。
  • CVE-2017-13087:ワイヤレスネットワーク管理(WNM)スリープモード応答フレームを処理する際のグループキー(GTK)の再インストール。
  • CVE-2017-13088:ワイヤレスネットワーク管理(WNM)スリープモード応答フレームを処理する際の整合性グループキー(IGTK)の再インストール。

また、このZDNet記事- 現時点で入手可能なKRACK Wi-Fi脆弱性のパッチ(2017年10月16日)は、ベンダーが迅速に対応していることを示しており、Appleはパッチがベータ版であることを確認しています。

Appleは、iOS、MacOS、WatchOS、TVOSのベータ版の修正プログラムを確認し、数週間以内にソフトウェアアップデートで公開する予定です。

* Common Vulnerabilities and Exposures(CVE®)は、既知のサイバーセキュリティ脆弱性の一般的な識別子のリストです。世界中のCVEナンバリング機関(CNA)によって割り当てられる「CVE識別子(CVE ID)」を使用することで、独自のソフトウェア脆弱性に関する情報を議論または共有するために使用する際に当事者間の信頼を確保し、ツール評価のベースラインを提供します。サイバーセキュリティ自動化のためのデータ交換を可能にします。

アラン
ソース
2
これをテストしたいと思います。修正のドキュメントがないことは、修正がないことの事実上の証拠かもしれませんが、Appleは未解決の問題からそれらをそらすために、志望クラッカーに心理的なトリックをかけているだけかもしれません。(もちろん、Appleが問題を修正するまで、私の調査結果を共有しません。)
wizzwizz4
11

iMoreの編集長であるRene Ritchieは、この脆弱性は現在のすべてのmacOS、watchOS、tvOS、iOSベータ版で修正されている報告しています

更新プログラムが出荷されるまで、多くのセキュリティブログは、VPNおよびSSLで保護されたサイトを使用して、Wi-Fi経由で送信される情報を保護することを推奨しています。

SSLは、KRACK攻撃からのデータの安全性を保証しませんが、それを著しく難しくします。ただし、KRACKは、暗号化の前にデータにアクセスできるほど深くアクセスします。

ヴィコール
ソース
2
しかし、単に別のものの脅威を交換しますと、無料または信頼されていないVPNを使用しないでください
スティーブ・
1
はい。そのVPN行は、編集者によって元の投稿に追加されました。私は、自分のサーバーから、自分で実行しなかったVPNを個人的に信用しませんでした。
vykor
私はそれがあなたの編集ではないことを知っていましたが、通り過ぎる人のためにメモを追加したかどうかを確認したかっただけです:)
Steve
1
「ただし、KRACKは、暗号化の前にデータにアクセスできるほど十分に深くアクセスできます。」うーん これは、ワイヤレス通信の脆弱性です。これがあなたの答えです。他の人が行った編集を拒否できます。
miken32
1
@FyodorGlebovこの攻撃はクライアントに対するものです。ルーターを更新する必要がありますが、クライアントが脆弱性の原因です。
dwightk
-2

脆弱性が公開されたばかりで(この質問の時点で)、最初にどのメーカーにも送信されたとは思わない(これについて通知する当事者の数を考えると非常に難しいだろう)-Appleにはしばらく時間がかかるだろう既存のすべてのデバイスの新しいアップデートをバンドルしてリリースします。

Appleは、単一の脆弱性に対してのみiOS / Mac OSの緊急パッチを適用しない前から常にそうであったように、いくつかの修正/変更をまとめてアップデートします。

また、修正、テスト、検証、リリースなどを行うには時間がかかります。そのため、すぐには対処されません。

アレクセイ・カメンスキー
ソース
10
これらの場合、US-CERTは通知を調整します。この場合、ベンダーは7月と8月に通知されました(krackattacks.com)。開示前に十分な時間が与えられました。実際、OpenBSDは禁輸措置を破り、パッチを適用するのが早すぎたため、元の研究者に軽微な事件を引き起こしました。
vykor
2
ERRが、「それは常にアップルの前にされているように...唯一の脆弱性のためのiOS / MacのOSの緊急パッチをしない」アップルはすぐにバッシュのための1時間のパッチリリースでした、通常のアップデートチャネルとスケジュール-の-outside 「2014年シェルショック脆弱性を」発見されました。
JakeGould
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.