Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks
2023/07/24 SecurityWeek — 7月24日に Apple は、同社の主力プラットフォームである iOS/macOS/iPadOS に対して、大規模なセキュリティ・アップデートを行なった。今回のアップデートには、iOS/macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれている。また、Apple によると、iOS/iPadOS/macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたという。
Apple は、「特定のアプリにおいては、機密性の高いカーネルの状態を変更できる可能性がある。我々は、この問題が実際に悪用されている可能性があるという報告を受けている」と述べており、この問題の報告に関して5人の Kaspersky の研究者を挙げている。
同社が、Kaspersky の企業ネットワークに対する APT スタイルの攻撃の一部として、悪用されたソフトウェアの脆弱性に対する修正プログラムを配布したのは、今回が2度目となる。
Kaspersky の情報公開は、国内の契約者や外国公館に属する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが続いているとして、ロシアの連邦保安局 (FSB:Federal Security Service) が、米情報機関を非難したのと同じ日に行われたものだ。
Apple は、モバイル端末をコード実行攻撃にさらす複数の脆弱性などを含む、iPhone/iPad を悩ませている少なくとも 25件の文書化されたセキュリティ・バグを修正した。 iOS 16.6のアップデートは、最近の Rapid Security Response で最初に対処された、WebKit のバグにも対処している。
さらに、Safari 16.6/iOS 15.7.8/iPadOS 15.7.8/macOS Ventura 13.5のセキュリティ問題も修正された。
文中にある、ロシアの連邦保安局 (FSB:Federal Security Service) からの、米情報機関への非難の件ですが、2023/06/01 の「iOS の iMessage を侵害するゼロクリック攻撃:ロシアが米情報機関を非難している」のことだと思います。よろしければ、Apple + Russia で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.