Apple iOS/macOS のゼロデイ脆弱性が FIX:CVE-2022-32893/CVE-2022-32894

Apple security updates fix 2 zero-days used to hack iPhones, Macs

2022/08/17 BleepingComputer — 今日、Apple が公開したのは、iPhone/iPad/Mac のハッキングに悪用された、2つのゼロデイ脆弱性を修正するための緊急セキュリティ・アップデートである。ゼロデイ脆弱性とは、ソフトウェア・ベンダーがパッチ適用を行う前に、攻撃者や研究者により検知されたセキュリティ上の欠陥のことである。多くの場合において、ゼロデイ脆弱性には、PoC エクスプロイトの公開や、積極的な攻撃での悪用が伴う。


Apple は macOS Monterey 12.5.1/iOS 15.6.1/iPadOS 15.6.1 をリリースし、積極的な悪用が報告されている、2つのゼロデイ脆弱性を解決した。

これらの脆弱性は3種類の OS に共通するものであり、1つ目の脆弱性 CVE-2022-32894 は、OS のカーネルに存在する境界外書き込みの欠陥である。カーネルは、OS のコア・コンポーネントとして動作するプログラムであり、macOS/iPadOS/iOS で最も高い権限を持つものだ。

この脆弱性の悪用に成功した攻撃者は、マルウェアなどを利用して、カーネル権限でコードを実行できる。この特権は最高レベルであり、デバイス上であらゆるコマンドを実行することが可能であるため、事実上、デバイスを完全に制御できる。

2つ目のゼロデイ脆弱性は CVE-2022-32893 は、Safari などが使用している Web ブラウザエンジン WebKit における、境界外書き込みの欠陥に起因する。

Apple によると、この脆弱性の悪用に成功した攻撃者は、任意のコード実行を行うことが可能となる。対象が、Web エンジンにあるため、悪意を持って細工された Web サイトを訪問することで、リモートで悪用される可能性が高いとのことだ。

これらのバグは、匿名の研究者により報告され、Apple は iOS 15.6.1/iPadOS 15.6.1/macOS Monterey 12.5.1 で、双方のバグを改善/修正した。

2つの脆弱性の影響を受ける端末の一覧は、以下の通りである。

  • Macs running macOS Monterey
  • iPhone 6s and later
  • iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation).

Apple は、野放し状態での悪用について公表したが、これらの攻撃に関する詳細は公開していない。

これらのゼロデイ・プログラムは、標的型攻撃で悪用された可能性が高いとされるが、今日のセキュリティ・アップデートを可能な限り早急にインストールすることが、強く推奨されている。

今年の Apple がパッチ適用した7つのゼロデイ

1月に Apple は、積極的に悪用されている 2つのゼロデイ脆弱性である、カーネル特権で任意のコード実行を可能にする欠陥 CVE-2022-22587 および、Web ブラウジング・アクティビティとユーザ・アイデンティティをリアルタイムで追跡する欠陥 CVE-2022-22594 にパッチを適用した。

2月に Apple は、iPhone/iPad/Mac のハッキングに悪用される、ゼロデイ脆弱性を修正するセキュリティアップデートをリリースした。悪意を持って細工された Web コンテンツを処理した後に OS がクラッシュし、感染したデバイス上でリモートコード実行にいたる問題に対処した。

3月にAppleは、Intel Graphics Driver (CVE-2022-22674) と、AppleAVD (CVE-2022-22675) に存在する、カーネル権限でのコード実行に悪用される可能性のある、2つのゼロデイ・バグにパッチを適用した。

いつもだと、macOS の脆弱性に関する記事が出ても、実際にアップデートが提供されるまでには、ちょっとタイムラグがあります。しかし、今回は、この記事とほぼ同じタイミングで、アップデートが届いていたので驚きました。手元のマシンが Monterey なので、早速アップデートしましたが、この素早い対応の背景には、脆弱性の深刻さがあるのかと推測します。iOS も、アップデートが届いていました。

%d bloggers like this: