Trusted Design

CVE-2021-1879 の詳細

CVEの情報

説明:
This issue was addressed by improved management of object lifetimes. This issue is fixed in iOS 12.5.2, iOS 14.4.2 and iPadOS 14.4.2, watchOS 7.3.3. Processing maliciously crafted web content may lead to universal cross site scripting. Apple is aware of a report that this issue may have been actively exploited..

CVE更新日: 2021-04-02 19:15:20.770000

CVSSバージョン: 3.1

CVSSスコア: 6.1

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.008090000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: medium

Automatable: False

AIを使った解説

解説:

CVE-2021-1879について、以下の観点で解説します。

1. 脆弱性の概要

Apple WebKit (Safari) のQuickTimePluginReplacementプラグインにおけるUse-After-Freeの脆弱性です。悪意を持って細工されたWebコンテンツを処理することで、Universal Cross-Site Scripting (UXSS) が発生する可能性があります。

1.1 影響

攻撃者がユーザーのセッションのコンテキストで任意のスクリプトを実行し、Universal Cross-Site Scripting (UXSS) を引き起こす可能性があります。これにより、機密データの不正な露出やデータの改ざんにつながる可能性があります。機密性および完全性への影響は低いと評価されていますが、可用性への影響はありません。

1.2 深刻度

CVSSスコア6.1の中程度の深刻度と評価されています。 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities Catalog)にも追加されており、実際に悪用されたことが確認されています。 攻撃の複雑さは低く、特権は不要ですが、ユーザーの操作が必要です。

2. 対象となる環境

2.1 影響を受けるOSバージョン

以下のOSバージョンが影響を受けます。

  • iOS 12.5.2より前のバージョン
  • iOS 14.4.2より前のバージョン
  • iPadOS 14.4.2より前のバージョン
  • watchOS 7.3.3より前のバージョン
  • Apple WebKit (Safari) 14.4.1およびそれ以前のバージョン

具体的に影響を受けるデバイスとして、iPhone 5s、iPhone 6、iPhone 6 Plus、iPhone 6s、iPod touch (第6世代および第7世代) が挙げられます。

2.2 影響を受ける設定

この脆弱性はWebKitブラウザエンジン、特にQuickTimePluginReplacementプラグインに存在します。脆弱性を軽減または有効にする特定の「設定」は明記されていません。問題はオブジェクトのライフタイム管理の改善によって対処されました。

3. 影響を受けた時の兆候

検索結果には、脆弱性の影響を受けた際に直接現れる「兆候」として具体的なシステム動作は明記されていません。ただし、悪意を持って細工されたWebコンテンツの処理が成功すると、タイプ混同や「addrof/fakeobj」プリミティブの偽造により、レンダラの内部状態が変更され、Universal XSSが達成される可能性があります。最終的には、攻撃者がターゲットWebサイトの認証クッキーを含むリクエストを受け取ることが可能になります。

したがって、以下のような兆候が考えられます。

  • 身に覚えのないWebサイトへの予期せぬWebSocket接続。
  • 通常アクセスしないWebサイトからのデータ送信。
  • Webブラウザ(Safari)や関連するアプリケーションの異常な動作やクラッシュ。

4. 推奨対策

4.1 本対策

Appleから提供されているセキュリティアップデートを適用することが強く推奨されます。

  • iOSを12.5.2以降にアップデートしてください。
  • iOSを14.4.2以降にアップデートしてください。
  • iPadOSを14.4.2以降にアップデートしてください。
  • watchOSを7.3.3以降にアップデートしてください。
  • Safariを14.4.2以降にアップデートしてください。

この問題は、オブジェクトのライフタイム管理の改善によって対処されました。

4.2 暫定回避策(緩和策)

この脆弱性に対する具体的な暫定回避策は公開されていません。しかし、悪意を持って細工されたWebコンテンツを介して悪用される性質上、信頼できないWebサイトへのアクセスを避け、Webブラウジングに際しては注意を払うことが一般的な緩和策となり得ます。ただし、これはCVE-2021-1879に特化した回避策ではありません。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る