Trusted Design

CVE-2021-30666 の詳細

CVEの情報

説明:
A buffer overflow issue was addressed with improved memory handling. This issue is fixed in iOS 12.5.3. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited..

CVE更新日: 2021-09-08 15:15:13.553000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.011750000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2021-30666に関する調査結果を以下にまとめます。

1. 脆弱性の概要

CVE-2021-30666は、Apple iOSのWebKitブラウザエンジンに存在するバッファオーバーフローの脆弱性です。この脆弱性は、悪意を持って細工されたWebコンテンツを処理する際の不適切なメモリ処理に起因します。攻撃者はこの脆弱性を悪用することで、対象デバイス上で任意のコードを実行する可能性があります。Appleは、この問題が積極的に悪用された可能性があることを認識しています。

1.1 影響 攻撃が成功すると、攻撃者は影響を受けるiOSデバイス上で任意のコードを実行できる可能性があります。これはブラウザプロセスの権限で行われ、さらなるシステム侵害につながる可能性があります。この脆弱性は、ゼロデイ脆弱性として積極的に悪用されていたことが確認されています。

1.2 深刻度 CVSSv3スコアは8.8(High)と評価されています。 この脆弱性は、CISAの既知の悪用された脆弱性(KEV)カタログにも掲載されており、その深刻度と緊急性の高さを示しています。

2. 対象となる環境

2.1 影響を受けるOSバージョン * Apple iOSバージョン 12.5.3より前のバージョン * WebKitGTKバージョン 2.28.3より前のバージョン * WPE WebKitバージョン 2.28.3より前のバージョン

2.2 影響を受ける設定 この脆弱性は、WebKitレンダリングエンジンのメモリ処理ルーチンに存在します。特に、特別に細工されたWebコンテンツが読み込まれる際に、WebKitエンジンがバッファ境界を適切に検証しないことが原因で、割り当てられたメモリ領域を超えてデータが書き込まれる可能性があります。 攻撃はネットワークベースであり、被害者が悪意のあるWebページを訪問するか、攻撃者が制御するコンテンツにリダイレクトされるというユーザーの操作が必要です。

3. 影響を受けた時の兆候

  • iOSデバイスでの予期しないSafariまたはWebKitのクラッシュ。
  • 既知の悪意のあるドメインへのネットワーク接続。
  • Webブラウジング活動後の異常なプロセス動作。
  • クラッシュログにWebKitプロセスに関連するメモリ破損の痕跡。

4. 推奨対策

4.1 本対策 * 影響を受けるすべてのiOSデバイスをiOSバージョン12.5.3以降に直ちにアップデートしてください。Appleはこの脆弱性にメモリ処理の改善で対処しました。 このセキュリティアップデートは、標準のiOSアップデートメカニズムを通じて利用可能です。

4.2 暫定回避策(緩和策) * すぐにパッチを適用できないデバイスでは、信頼できないWebサイトへのアクセスを制限してください。 * 既知の脆弱性悪用サイトへのアクセスをブロックするために、ネットワークレベルでWebコンテンツフィルタリングを実装してください。 * ユーザーに対して、パッチが適用されていないデバイスで信頼できないWebサイトを訪問するリスクについて教育を実施してください。 * 可能であれば、追加のサンドボックス保護を備えた代替ブラウザの導入を検討してください。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る