Apple iPhone / Mac のゼロデイ脆弱性が FIX

Apple patches new zero-day bug used to hack iPhones and Macs

2021/09/23 BleepingComputer — Apple は、古いバージョンの iOS/macOS を搭載した iPhone/Mac のハッキングに悪用された、ゼロデイ脆弱性を修正するセキュリティ・アップデートを公開した。本日、修正されたゼロデイ脆弱性 (CVE-2021-30869) は、XNU OS のカーネルに存在するものであり、Google Threat Analysis Group の Erye Hernandez と Clément Lecigne および、Google Project Zero の Ian Beer により報告されている。

この脆弱性の悪用に成功すると、侵害されたデバイス上で、カーネル権限による任意のコード実行が生じる恐れがある。Apple は、このゼロデイ・バグについて、「この問題が積極的に悪用された可能性があるという報告を受けている」と述べている。影響を受けるデバイスの、全リストは以下の通りである。

• iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (6th generation) running iOS 12.5.5

• and Macs with Security Update 2021-006 Catalina.

また Apple は、以前にパッチを適用した2つのゼロデイについても、セキュリティ・アップデートをバックポートした。そのうちの1つは、The Citizen Lab により報告されたもので、ハッキングされたデバイスに、スパイウェア NSO Pegasus を展開するために使用されていた。

ワイルドに悪用されるゼロデイの数々

今日のゼロデイ以外にも、Apple は、iOS/macOS デバイスを標的とした攻撃に利用される、後を絶たないゼロデイバグに対処する必要があった。

• two zero-days earlier this month, one of them used also used to install Pegasus spyware on iPhones,

• the FORCEDENTRY exploit disclosed in August (previously tracked by Amnesty Tech as Megalodon),

• three iOS zero-days (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) in February, exploited in the wild and reported by anonymous researchers,

• an iOS zero-day (CVE-2021-1879) in March that may have also been actively exploited,

• one zero-day in iOS (CVE-2021-30661) and one in macOS (CVE-2021-30657) in April, exploited by Shlayer malware,

• three other iOS zero-days (CVE-2021-30663, CVE-2021-30665, and CVE-2021-30666) in May, bugs allowing for arbitrary remote code execution (RCE) simply by visiting malicious websites,

• a macOS zero-day (CVE-2021-30713) in May, which was abused by the XCSSET malware to bypass Apple’s TCC privacy protection,

• two iOS zero-day bugs (CVE-2021-30761 and CVE-2021-30762) in June that “may have been actively exploited” to hack into older iPhone, iPad, and iPod devices.

ゼロデイなので、iOS および Catalina ユーザーは、すぐにアップデートしましょう。このブログを書くために、Catalina を一台使っているので、急いで対応しました。それにしても、結構な数のゼロデイですね。

%d bloggers like this: