Apple Releases Updates to Address Zero-Day Flaws in iOS, iPadOS, macOS, and Safari
2023/04/08 TheHackerNews — 2023年4月7日 (金) に Apple は、iOS/iPadOS/macOS および、Web ブラウザ Safari のセキュリティ・アップデートをリリースし、野放し常態で悪用されている2つのゼロデイ脆弱性に対処した。Apple は、1つ目の脆弱性 CVE-2023-28205 はメモリ管理の欠陥であり、2つ目の脆弱性 CVE-2023-28206 は入力検証の欠陥である。同社は、それぞれの脆弱性に対処した上で、活発に悪用された可能性があると認めている。
これらの脆弱性を発見/報告したのは、Google Threat Analysis Group (TAG) の Clément Lecigne と、Amnesty International’s Security Lab の Donncha Ó Cearbhaill だ。
2つの脆弱性の詳細は下記の通りである:
- CVE-2023-28205:WebKit の解放済みメモリの使用の脆弱性であり、特別に細工された Web コンテンツを処理する際に、任意のコードを実行される可能性がある。
- CVE-2023-28206:IOSurfaceAccelerator の境界外書き込みの脆弱性で、アプリがカーネル特権で任意のコード実行が発生する可能性がある。
これらの脆弱性についての詳細は、活発な悪用を考慮し、脅威アクターに悪用されることを防ぐために、非公開とされている。
アップデートは、iOS 16.4.1/iPadOS 16.4.1/macOS Ventura 13.3.1/Safari 16.4.1 で提供されている。また、修正内容は下記の幅広いデバイスに及んでいる:
- iPhone 8 以降/iPad Pro (全モデル)/iPad Air 第3世代以降/iPad 第5世代以降/iPad mini第5世代以降
- macOS が動作する Mac Big Sur/Monterey/Ventura
今年に入ってから、Apple は3つのゼロデイにパッチを適用している。この2月には、任意のコード実行の可能性あある、WebKit の活発に悪用されるゼロデイ CVE-2023-23529 に対処している。
また、商用スパイウェア・ベンダーが Android と iOS のゼロデイを活用して、モバイル端末を監視用マルウェアに感染させていると、Google TAG が発表したことも、今回の展開につながっている。
最近の Apple に対する脆弱性情報としては、2023/03/21 の「Microsoft/Google/Apple を悩ませたゼロデイ脆弱性: 2022年の統計結果を見てみよう」と、2022/12/30 の「CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft」が、興味深い内容となっています。よろしければ、Apple で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.