Apple fixes eighth zero-day used to hack iPhones and Macs this year
2022/09/12 BleepingComputer — Apple は、iPhone/Mac に対する攻撃で使用された、2022年に入ってから8番目のゼロデイ脆弱性に対処するセキュリティ・アップデートを公開した。同社は、月曜日に公開されたセキュリティ・アドバイザリの中で、この脆弱性の積極的な悪用の可能性が報告されていることを明らかにしている。この脆弱性 CVE-2022-32917 により、悪意を持って細工されたアプリケーションが、カーネル権限で任意のコードを実行する可能性があるという。
この脆弱性は、匿名の研究者から Apple に報告されたものであり、iOS 15.7/iPadOS 15.7/macOS Monterey 12.6/macOS Big Sur 11.7 で対処され、境界チェックが改善された。
影響を受けるデバイスの全リストは以下の通り:
- iPhone 6s 以降/iPad Pro 全モデル/iPad Air 2 以降/iPad 第5世代以降/iPad mini 4以降/iPod touch 第7世代
- macOS Big Sur 11.7/macOS Monterey 12.6 を実行している Mac
また、Apple は、8月31日に追加のセキュリティ・アップデートをリリースした後に、別のゼロデイ CVE-2022-32894 のパッチを macOS Big Sur 11.7 を実行している Mac にバックポートして、古い iPhone/iPad で実行されている iOS バージョンの同じ脆弱性に対処している。
iPhone/Mac にパッチを適用して攻撃を阻止
Appleは、この脆弱性を悪用した攻撃が活発に行われていることを公表しているが、それらの攻撃に関する情報は公表していない。同社は、情報を公開しないことで、他の攻撃者が独自のエクスプロイトを開発し、脆弱な iPhone/Mac を標的とした攻撃を展開し始める前に、できるだけ多くのユーザーがデバイスにパッチ適用できるようにしたいと考えていると思われる。
このゼロデイ脆弱性は、高度な標的型攻撃にのみ使用された可能性が高いが、攻撃の試みを阻止するために、直ちにこれらのセキュリティ・アップデートをインストールすることが強く推奨される。
Apple が 2022年に入ってから修正した7件のゼロデイ脆弱性は下記の通り:
- 2022年8月: iOS カーネル (CVE-2022-32894)/WebKit (CVE-2022-32893) の2つのゼロデイ脆弱性
- 2022年3月:Intel Graphics Driver (CVE-2022-22674)/AppleAVD (CVE-2022-22675)の2つのゼロデイ脆弱性
- 2022年2月:iPhone/iPad/Mac に対する攻撃で悪用された、WebKit の別のゼロデイ脆弱性
- 2022年1月:カーネル特権によるコード実行 (CVE-2022-22587)/Web ブラウジング・アクティビティの追跡 (CVE-2022-22594) を可能にする、他の2つの悪用されたゼロデイ
この記事がポストされたのは、日本時間で 9月13日のことでしたが、その時点ですでに、macOS/iOS のアップデートが可能でした。少し前まで、Apple のアップデートは、ニュースで出てから数日後が多かったように記憶していましたが、このところ早くなっていますね。なお、最近の Apple のトピックとしては、7月21日の「Apple iOS/iPadOS/macOS/tvOS/watchOS における 37件の脆弱性が FIX」や、8月17日の「Apple iOS/macOS のゼロデイ脆弱性が FIX:CVE-2022-32893/CVE-2022-32894」などがあります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.