Apple の緊急アップデート:iPhone/iPad/Mac の2つのゼロデイ脆弱性に対応

Apple issues emergency patches to fix actively exploited zero-days

2022/03/31 SecurityAffairs — Apple が、緊急のセキュリティ・パッチをリリースした。具体的には、iPhone/iPad/Mac のハッキングに活発に利用されている、2つのゼロデイ脆弱性に対応するものだ。1つ目のゼロデイ脆弱性 CVE-2022-22674 は、Intel Graphics Driver に存在し、悪意のアプリにカーネル・メモリ読み取りを許してしまう、境界外読取の問題である。Apple は、「この問題には、入力の検証を改善することで対処した。Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」とアドバイザリに記している。

2つ目の脆弱性 CVE-2022-22675 は、AppleAVD メディア・デコーダーに影響する境界外書き込みの問題である。この脆弱性が悪用されると、カーネル・メモリの読み取りが生じ、カーネル権限で任意のコードを実行される可能性がある。Apple は、「なんらかのアプリケーションが、カーネル特権で任意のコードを実行する可能性がある。境界外書き込みの問題は、境界チェックを改善することで対処した」と述べている。

これらのゼロデイ脆弱性は、匿名の研究者により報告され、Apple により iOS 15.4.1/iPadOS 15.4.1/macOS Monterey 12.3.1 で、入力検証と境界チェックを改善することで対処された。

なお、Apple は、脆弱性が悪用された場合の詳細については公表していない。ユーザーに対しては、可能な限り早急なセキュリティ・アップデートのインストールが推奨される。

2022年1月以降に Apple は、活発に悪用されている、他の3つの脆弱性にも対処している。2月に Apple は、iOS/iPadOS/macOS/Safari に影響を及ぼす、WebKit のゼロデイ脆弱性 CVE-2022-22620 に対処した。この欠陥は、悪意を持って細工された Web コンテンツを処理することで誘発され、任意のコードの実行につながる use after free の欠陥だった。1月には、ゼロデイ脆弱性 CVE-2022-22587/CVE-2022-22594 にも対処している。これらの脆弱性の悪用に成功した攻撃者は、脆弱なデバイス上で任意のコード実行、および、Web ブラウザでのユーザー追跡などが可能になる。

2021年9月13日の「Apple iPhone / Mac のゼロデイ脆弱性が FIX」、10月11日の「Apple iOS 15.0.2 緊急アップデート:ゼロデイのコマンド実行脆弱性が FIX」などがあります。また、「CISA の脆弱性カタログに8件が追加:Apple/SonicWall などに注意」で対象となるのは iOS のバグであり、悪用脆弱性リストに追加されています。

%d bloggers like this: