CISA adds iPhone bugs to its Known Exploited Vulnerabilities catalog
2023/05/22 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、iPhone/iPad/Mac に影響を及ぼす3件のつのゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この3つの問題は、WebKit ブラウザ・エンジンに存在する、脆弱性 CVE-2023-32409/CVE-2023-28204/CVE-2023-32373 となる。
以下は、先日に Apple が対応した脆弱性の詳細である:
CVE-2023-32409:Apple Multiple Products WebKit Sandbox Escape Vulnerabilit:Apple iOS/iPadOS/macOS/tvOS/watchOS/Safari WebKit に存在する原因を特定できない脆弱性により、Web コンテンツ・サンドボックス・エスケープをリモート攻撃者に許してしまう。
CVE-2023-28204:Apple Multiple Products WebKit Out-of-Bounds Read Vulnerability:Apple iOS/iPadOS/macOS/tvOS/watchOS/Safari WebKit に存在する境界外読み込みの脆弱性により、機密情報を開示する可能性が生じる。
CVE-2023-32373:Apple Multiple Products WebKit Use-After-Free Vulnerability:Apple iOS/iPadOS/macOS/tvOS/watchOS/Safari WebKit に存在する Use-After-Free の脆弱性により、コード実行にいたる恐れがある。
Apple のアドバイザリには、「一連の脆弱性が活発に悪用された可能性があるという報告を認識している」と記されている。
これらの問題に対処するために、Apple は iOS 16.5/iPadOS 16.5/tvOS 16.5/watchOS 9.5/Safari 16.5/macOS Ventura 13.4 をリリースした。
Apple は 5月1日の時点で、iOS 16.4.1/macOS 13.3.1 の Rapid Security Response (RSR) パッチで、CVE-2023-28204/CVE-2023-32373 に対処していた。
2023年に入ってから Apple は、野放し状態で攻撃された6件のゼロデイ脆弱性に対応したことになる。
米政府の Binding Operational Directive (BOD) 22-01によると、KEV カタログに追加され脆弱性から、 連邦政府機関はネットワークを保護するために、指定された期日までに対処する必要がある。CISA は、連邦政府機関に対して、2023年6月12日までに一連の欠陥を修正するよう命じている。
セキュリティ専門家たちは、民間組織においても KEV カタログを確認し、インフラの脆弱性に対処することを推奨している。
この Apple の脆弱性 CVE-2023-32409/CVE-2023-28204/CVE-2023-32373 に関しては、2023/05/19 の「Apple の iPhone/Mac/WebKit の脆弱性が FIX:3件のゼロデイを含む数十件の欠陥」を、ご参照ください。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.