Apple releases emergency update to fix zero-day exploited in attacks
2023/07/10 BleepingComputer — Apple が Rapid Security Response (RSR) アップデートの新ラウンドを発行したのは、完全にパッチが適用された iPhone/Mac/iPad への攻撃で悪用されている、新たなゼロデイバグに対処するためである。この、匿名のセキュリティ研究者により報告された CVE-2023-37450 の脆弱性について、iOS と macOS のアドバイザリには、「Apple は、この問題が活発に悪用されている可能性があるという報告を認識している」と記されている。
Apple は、「この Rapid Security Response (RSR) は、重要なセキュリティ修正を提供するもので、すべてのユーザーに推奨される」と、RSR パッチが配信されているシステム上で警告している。
このサポート文書によると、RSR パッチは、iPhone/iPad/Mac プラットフォームにおけるセキュリティ上の懸念に対処するために設計された、コンパクトなアップデートとして導入されているという。主要なソフトウェア・アップデートの間に発生する、セキュリティ上の問題を解決することを目的としているとされる。
さらに、予定外のセキュリティ・アップデートの中には、攻撃で積極的に悪用されるセキュリティ脆弱性に対処するために採用されるものもある。
自動アップデートをオフにしている場合、もしくは、Rapid Security Responses が提供されたときにインストールしなかった場合には、将来のソフトウェア・アップグレードの一部としてパッチが適用されるという。
本日の緊急パッチは以下の通りである:
- macOS Ventura 13.4.1 (a)
- iOS 16.5.1 (a)
- iPadOS 16.5.1 (a)
- Safari 16.5.2
この不具合は、Apple が開発した WebKit ブラウザ・エンジンに発見されたものであり、攻撃者は悪意を持って細工されたコンテンツを含む Web ページを開かせることで、標的のデバイス上で任意のコードを実行できるという。同社は、このセキュリティ上の弱点に対処し、悪用の試みを軽減するためのチェックを改善した。
%20RSR.png)
2023年にパッチが適用された 10番目のゼロデイ
2023年に入ってからの Apple は、iPhone/Mac/iPad のハッキングで悪用された、10件目のゼロデイ欠陥にパッチを適用したことになる。
今月の初めに Apple は、iMessage のゼロクリック・エクスプロイトを介して、iPhone 上に Triangulation スパイウェアを展開するために悪用される、3つのゼロデイ脆弱性 (CVE-2023-32434/CVE-2023-32435/CVE-2023-32439) に対処した。
また、5月には、3件のゼロデイ脆弱性 (CVE-2023-32409/CVE-2023-28204/CVE-2023-32373) を修正しているが、最初のゼロデイは Amnesty International Security Lab と Google Threat Analysis Group の研究者により報告されたものであり、傭兵スパイウェアのインストールに使用された可能性が高いとされる。
4月にも Apple は、Android/iOS/Chrome の Zero-Day/N-Day 欠陥であり、エクスプロイト・チェーンの一部として使用され、高リスクのターゲットのデバイスにスパイウェアをインストールするために使用された、2つのゼロデイ脆弱性 (CVE-2023-28206/CVE-2023-28205) を修正している。
2月にも Apple は、脆弱な iPhone/iPad/Mac上での、不正なコード実行に悪用される WebKit のゼロデイ脆弱性 (CVE-2023-23529) にパッチを適用している。
Apple の Rapid Security Response (RSR) アップデートは、同社による新たな試みであり、従来からのソフトウェア・アップデートの間に生じた、緊急の問題に対応するためのものとされています。大いに歓迎すべきことですが、今回の脆弱性 CVE-2023-37450 に対する RSR は、Safari を介した Web 参照において、いくつかのサイトで問題が生じたとのことで、取り止めになったようです。
IoT OT Security News 
You must be logged in to post a comment.