Apple iOS 15.0.2 緊急アップデート:ゼロデイのコマンド実行脆弱性が FIX

Emergency Apple iOS 15.0.2 update fixes zero-day used in attacks

2021/10/11 BleepingComputer — Apple は、iOS 15.0.2/iPadOS 15.0.2 をリリースし、iPhone や iPad を標的とした攻撃で活発に悪用されている、ゼロデイ脆弱性を修正した。この脆弱性は、CVE-2021-30883 として追跡されている、IOMobileFrameBuffer における重要なメモリ破壊バグであり、脆弱なデバイス上のアプリケーションによる、カーネル権限でのコマンド実行を許してしまう。したがって、この脆弱性を悪用する脅威アクターによる、データの窃取や、さらなるマルウェアをインストールが実行される可能性が生じる。

Apple は、この脆弱性が利用された攻撃について、詳細を明らかにしていないが、積極的に利用されていると表明している。同社は、「この問題が積極的に悪用された可能性があるという、報告を認識している」と、本日未明に公開したセキュリティ・アドバイザリで述べている。

Apple は、他の脅威アクターが詳細を知る前に、また、パッチのリバース・エンジニアリングにより新たなエクスプロイトが作成される前に、できるだけ多くのデバイスにアップデートが適用されるよう、意図的に脆弱性の報告を曖昧にしているようだ。しかし、この脆弱性が公開された直後に、セキュリティ研究者である Saar Amar が、パッチをリバース・エンジニアリングして得られた、PoC エクスプロイトを公開した。

影響を受けるデバイスのリストは、きわめて広範囲におよぶものであり、iPhone 6s 以降/iPad Pro (全モデル)、iPad Air 2 以降/iPad 5th 以降/iPad mini 4 以降/iPod touch 7th など、新旧のモデルに影響する。この脆弱性は標的型攻撃に利用されている可能性があり、広く悪用されているわけではないが、その深刻さから、可能な限り迅速なアップデートが推奨されている。

多発するゼロデイ

本日発表されたゼロデイ以外にも、Apple は、iPhone/iPad/macOS デバイスにおけるゼロデイ脆弱性を次々と修正している。

• two zero-days earlier this month, one of them used also used to install Pegasus spyware on iPhones,
• the FORCEDENTRY exploit disclosed in August (previously tracked by Amnesty Tech as Megalodon),
• three iOS zero-days (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) in February, exploited in the wild and reported by anonymous researchers,
• an iOS zero-day (CVE-2021-1879) in March that may have also been actively exploited,
• one zero-day in iOS (CVE-2021-30661) and one in macOS (CVE-2021-30657) in April, exploited by Shlayer malware,
• three other iOS zero-days (CVE-2021-30663, CVE-2021-30665, and CVE-2021-30666) in May, bugs allowing for arbitrary remote code execution (RCE) simply by visiting malicious websites,
• a macOS zero-day (CVE-2021-30713) in May, which was abused by the XCSSET malware to bypass Apple’s TCC privacy protection,
• two iOS zero-day bugs (CVE-2021-30761 and CVE-2021-30762) in June that “may have been actively exploited” to hack into older iPhone, iPad, and iPod devices.

先月には、Apple がパッチの適用を遅らせ、報告者のクレジットを表示しなかったことで、ある研究者が3つのゼロデイ脆弱性の悪用方法を公開している。

最近の Apple に関する脆弱性としては、9月13日の「Apple iOS/macOS の2つのゼロデイ脆弱性が FIX」、および、9月21日の「Apple macOS のメールを介してコマンドを実行する脆弱性とは?」、9月23日の「Apple iPhone / Mac のゼロデイ脆弱性が FIX」があります。合わせて ご確認ください。

%d bloggers like this: