Apple discloses 2 new zero-days exploited to attack iPhones, Macs
2023/09/07 BleepingComputer — Apple がリリースした緊急のセキュリティ・アップデートは、iPhone/Mac ユーザーを狙う攻撃で悪用されている、2つの新たなゼロデイ脆弱性を修正するものだ。同社のアドバイザリには、「Apple は、この問題が積極的に悪用された可能性があるという報告を認識している」と記されている。それぞれの脆弱性は、Walletフ レームワークの CVE-2023-41061 と、Image I/O の CVE-2023-41064 である。
脆弱性 CVE-2023-41064/CVE-2023-41061 が、BLASTPASS と名付けられたゼロクリック iMessage エクスプロイト・チェーンの一部として、積極的に悪用されていると、Citizen Lab が警告している。
悪意のイメージを取り込んだ PassKit の添付ファイルを介して、完全にパッチが適用された iPhone (iOS 16.6) に対して、NSO Group のスパイウェア Pegasus を展開するために使用されているようだ。
脆弱性 CVE-2023-41064 は、悪意を持って細工されたイメージを、処理する際に引き起こされるバッファ・オーバーフローの問題であり、パッチが適用されていないデバイス上で、任意のコードが実行される可能性がある。
脆弱性 CVE-2023-41061 は検証の問題であり、悪意の添付ファイルを介して悪用され、標的のデバイス上で任意のコードを実行される可能性がある。
Apple の対応は、macOS Ventura 13.5.2/iOS 16.6.1/iPadOS 16.6.1/watchOS 9.6.2 上でのロジックとメモリ処理を改善し、ゼロデイを修正したというものだ。
この2件の脆弱性は、新旧のモデルに対して影響を及ぼすため、対象デバイスのリストは範囲に及ぶ:
- iPhone 8 以降
- iPad Pro (all)/iPad Air 3rd 以降/iPad 5th 以降/iPad mini 5th 以降
- Mac (macOS Ventura)
- Apple Watch Series 4th 以降
今年修正された悪用されたゼロデイ 13件
今年に入ってからの Apple は、iOS/macOS/iPadOS/watchOS デバイスに対する攻撃で悪用された、13件のゼロデイ脆弱性にパッチを適用している。
2023年7月に Apple は、完全にパッチが適用された iPhone/Mac/iPad に影響を及ぼす脆弱性 CVE-2023-37450 に対処するために、スケジュール外の Rapid Security Response (RSR) アップデートをプッシュした。ただし、この RSR アップデートを適用したデバイスの、Web ラウジングが部分的に破壊されたことで、その2日後にバグを修正した新バージョンがリリースされた。
最近の Apple のセキュリティ・アップデートの関しては、2023/07/10 の「Apple が Rapid Security Response (RSR) アップデートを提供:ゼロデイ CVE-2023-37450 に対応」と、2023/07/24 の「Apple が大規模なセキュリティ・アップデートを実施:カーネルの脆弱性 CVE-2023-38606 などが FIX」を、ご参照ください。この夏は、とても高頻度でアップデートが行われていますね。なお、macOS の CVE-2023-41064 に関しては、Monterey のアドバイザリが見つかりました。
IoT OT Security News 
You must be logged in to post a comment.