Trusted Design

CVE-2020-9907 の詳細

CVEの情報

説明:
A memory corruption issue was addressed by removing the vulnerable code. This issue is fixed in iOS 13.6 and iPadOS 13.6, tvOS 13.4.8. An application may be able to execute arbitrary code with kernel privileges.

CVE更新日: 2020-10-16 17:15:16.590000

CVSSバージョン: 3.1

CVSSスコア: 7.8

KEVの情報

KEV更新日: 2022-06-27

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.038990000

EPSS更新日: 2026-07-19 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2020-9907について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2020-9907は、AppleのiOS、iPadOS、およびtvOSに存在する高深刻度のメモリ破損の脆弱性です。この脆弱性は、脆弱なコードの削除によって対処されました。

1.1 影響 この脆弱性を悪用されると、アプリケーションがカーネル権限で任意のコードを実行する可能性があります。これにより、許可されていないシステムへのアクセスや制御が可能となり、機密情報が露呈する恐れがあります。

攻撃はローカルで行われ、デバイスへの物理的なアクセスが必要です。また、攻撃をトリガーするためには、被害者が悪意のあるアプリケーションを開くなどのユーザーの操作が必要となります。攻撃の複雑さは低く、特定の権限は必要ありません。

1.2 深刻度 深刻度は「高」に分類されており、CVSSスコアは7.8(High)です。 このCVEは、CISAの既知の悪用された脆弱性カタログに含まれています。

2. 対象となる環境

2.1 影響を受けるOSバージョン * iOS 13.6より前のすべてのバージョン * iPadOS 13.6より前のすべてのバージョン * tvOS 13.4.8より前のすべてのバージョン

2.2 影響を受ける設定 この脆弱性はOSのメモリ破損に起因するため、特定の「影響を受ける設定」は示されていません。影響を受けるOSバージョンのデフォルト設定が脆弱性の対象となります。

3. 影響を受けた時の兆候

この脆弱性が悪用された際の具体的な「兆候」については、公開情報には明記されていません。カーネル権限での任意のコード実行が可能となるため、悪用された場合の影響は実行される悪性コードに依存します。

4. 推奨対策

4.1 本対策 Appleが提供するアップデートを適用することが恒久的な対策です。脆弱性は、以下のバージョンで修正されています。 * iOS 13.6 * iPadOS 13.6 * tvOS 13.4.8 これらのアップデートでは、脆弱なコードが削除されています。

4.2 暫定回避策(緩和策) パッチの適用がすぐに不可能な場合、潜在的な悪用への露出を制限するために、構成の強化やネットワーク制御を実装することを検討すべきです。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る