Apple fixes new zero-day used in attacks against iPhones, iPads
2022/10/24 BleepingComputer — Apple は、月曜日に公開されたセキュリティ・アップデートにおいて、今年の iPhone 攻撃に悪用された、9つ目のゼロデイ脆弱性を修正した。 今日のアドバイザリで Apple は、「このセキュリティ上の脆弱性が積極的に悪用されている可能性があるとする、レポートの存在を認識している」と述べている。この脆弱性 CVE-2022-42827 は、匿名の研究者が Apple に報告したものであり、メモリバッファの境界の外にデータを書き込む、境界外書き込みの問題に関するものだ。
その結果、バッファに書き込まれた新たなデータにより、データ破損/アプリ・クラッシュなどが生じ、さらには、メモリ破壊という予期せぬ結果による、コード実行にいたる恐れもある。Apple の説明によると、このゼロデイ脆弱性の悪用に成功した攻撃者は、カーネル権限で任意のコードを実行する可能性があったとのことだ。
影響を受けるデバイスのリストは、iPhone 8 以降/iPad Pro (全モデル)/iPad Air 3 以降/iPad 5 以降/iPad mini 5 以降となる。Appleは、iOS 16.1/iPadOS 16 により、このゼロデイ脆弱性に対処し、境界チェックを改善した。
iPhone/iPad へのパッチ適用
Apple は、この脆弱性の活発な悪用に関するレポートの存在を明らかにしているが、一連の攻撃に関する情報は、現時点では公表していない。そのため Apple の顧客は、攻撃者たちが新たなエクスプロイトを作成し、脆弱な iPhone/iPad を標的とする攻撃を開始する前に、デバイスにパッチを当てるべきである。
このゼロデイ脆弱性は、高度な標的型攻撃にのみ使用される可能性が高いが、攻撃の試みを阻止するために、今日のセキュリティ・アップデートのインストールが強く推奨される。
以下は、今年に入ってから Apple が修正したゼロデイ脆弱性のリストである。
- 9月:iOS カーネルの不具合 (CVE-2022-32917) に対処。
- 8月:iOS カーネル (CVE-2022-32894) と WebKit (CVE-2022-32893) のゼロデイに対処。
- 3月: Intel Graphics Driver (CVE-2022-22674) と AppleAVD (CVE-2022-22675) のゼロデイに対処。
- 2月:iPhone/iPad/Mac を狙う WebKit のゼロデイに対処。
- 1月:カーネル権限でのコード実行 (CVE-2022-22587) と Web ブラウジングのアクティビティ追跡を可能にする、ゼロデイ (CVE-2022-22594) に対処。
iPhone/iPad をお使いの方は、iOS 16.1 への移行を急ぎましょう。この記事を訳したあとに、手元の iPad mini5 をアップデートしたら、iOS 16.1 になりましたので、文中の iPadOS 16 は間違いだと思います。なお、Apple App Store の利用に関しては、9月26日の「Google Play/Apple Store のアドウェア:巧妙に振る舞い 1,300万回インストールに到達」や、6月4日の「Apple App Store の 2021年:160万件の危険/脆弱なアプリの配信が阻止された」といった記事がありますので、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.