SLAP and FLOP security vulnerabilities affect all current Apple devices and many older ones as well.

セキュリティ研究者たちは、現在のすべてのiPhone、iPad、そしてMacに存在する2つの欠陥を発見しました。これらの脆弱性はSLAPとFLOPと呼ばれ、攻撃者があなたの開いたウェブタブの現在の内容を見ることを可能にする可能性があります。

A15とM2チップで導入された欠陥が、その後のバージョンにも見つかり、各デバイスの最新版まで続きます。

SLAPとFLOPとは何ですか？

「SLAP（ロードアドレス予測による推測攻撃）とFLOP（偽のロード出力予測）は、テクノロジー大学院・佐治ア工科大のセキュリティ研究者によって発見されました。これらはSpectreとMeltdownと同じ仕組みで動作します。」

これらの脆弱性は、Appleや他のチップ設計者によって使用される方法から派生しています。これは「予測実行」と呼ばれる手法で、チップが可能であると考えられる将来の命令を予測し、それらを実行するために事前にデータを読み込むことを意図しています。

「攻撃者がこれらのプロセスに破損したデータを注入できる場合、アクセスできないメモリ内容を読み取ることができます。」

脆弱性とは何か？

「Safariでは、各タブがサンドボックス化される必要があります。つまり、別のタブで開かれた他のウェブサイトからデータにアクセスすることはできません。」

SLAP（Safariの脆弱性）を使用すると、攻撃者があなたを損なったウェブサイトに訪れるように誘導できれば、その時点で他のSafariタブで開いているすべてのデータにアクセスできます。例えば、あなたのメールを読むことができ、Apple Mapsで位置情報を確認でき、銀行詳細情報を見ることができます。

FLOPも同じことをすることができるが、より強力で、ChromeとSafariとも互換性があります。

Macにマルウェアが不要です - 攻撃はAppleの独自コードの脆弱性を利用して行われ、攻撃が進行中のことをほとんど検出する機会はありません。

どのデバイスが脆弱ですか？

以下のAppleデバイスは脆弱性にさらされています。A15以降のモデル、そしてM2以降のモデルです。研究者たちは、以下のデバイスが脆弱であることを確認しました。

iPhone:

• iPhone 13
• iPhone 14
• iPhone 15
• iPhone 16
• 第3世代iPhone SE

iPad:

• 2021年以降のiPad Airモデル
• 2021年以降のiPad Proモデル
• 2021年以降のiPad miniモデル

「Mac:」

• 2022年以降の MacBook Air モデル
• 2022年以降のMacBook Proモデル
• 「2023年以降のMac miniモデル」
• 2023年以降のMac Studioモデル
• 「2023年以降のiMacモデル」
• マック・プロ（2023）

実際のリスクは何ですか?

研究者たちは、これらの脆弱性がまだ野生で利用されていないという証拠がないと考えています。

イーパル（アップル）