Apple emergency updates fix 3 new zero-days exploited in attacks
2023/09/21 BleepingComputer — Apple は、iPhone/Mac ユーザーを狙った攻撃で悪用された、新たなゼロデイ脆弱性3件を修正する緊急セキュリティアップデートをリリースした。今年に入ってから修正されたゼロデイ脆弱性は、これで合計16件となった。2つのバグは、WebKit ブラウザエンジンに存在する CVE-2023-41993 と、Security フレームワークに存在する CVE-2023-41991 である。悪意のアプリを用いた署名検証の回避や、細工された Web ページを介した任意のコード実行にいたる恐れがあるという。
3つ目のバグは、カーネル拡張とカーネル常駐デバイス・ドライバに対して、API とサポートを提供する Kernel Framework に存在するものである。この脆弱性 CVE-2023-41992 の悪用に成功したローカル攻撃者は、特権昇格を可能にするという。
Apple は、macOS 12.7/13.6 および、iOS 16.7/17.0.1、iPadOS 16.7/17.0.1、watchOS 9.6.3/10.0.1 において、証明書検証の問題に対処し、チェックを改善することで、3件のゼロデイバグを修正した。
Apple のセキュリティ・アドバイザリには、「これらの問題が、iOS 16.7 以前に対して、積極的に悪用された可能性があるという報告を認識している」と記されている。
影響を受けるデバイスのリストには、以下の新旧モデルが含まれる:
- iPhone 8 以降
- iPad mini 第5世代以降
- macOS Monterey 以降を搭載したMac
- Apple Watch Series 4 以降
3件のゼロデイ脆弱性は、Toronto 大学 Munk School Citizen Lab の Bill Marczak と、Google Threat Analysis Group の Maddie Stone により発見/報告された。
一連の脆弱性の悪用について、現時点で Apple は詳細を明らかにしていないが、Citizen Lab と Google TAG のセキュリティ研究者たちは、リスクの高い個人であるジャーナリスト/野党政治家/反体制活動化などをターゲットにした、スパイウェア攻撃で悪用されたゼロデイ・バグを何度も公表している。
Citizen Lab は、他にも2つのゼロデイ脆弱性 CVE-2023-41061/CVE-2023-41064 を公表しているが、それらは、9月上旬の緊急セキュリティ・アップデートで Apple が修正している。それらの脆弱性は、完全にパッチ適用された iPhone を、NSO Group の商用スパイウェア Pegasus に感染させるための、ゼロクリック悪用チェーン BLASTPASS の一部として悪用されている。
今年に入ってから、Apple はゼロデイ脆弱性に対して、以下のパッチを適用している:
- 7月:CVE-2023-37450/CVE-2023-38606
- 6月:CVE-2023-32434/CVE-2023-32435/CVE-2023-32439
- 5月:CVE-2023-32409/CVE-2023-28204/CVE-2023-32373
- 4月:CVE-2023-28206/CVE-2023-28205
- 2月:WebKit CVE-2023-23529
この3つの脆弱性ですが、ニュースを見た直後から、アップデートが可能になっていました。Apple が Rapid Security Response (RSR) アップデートを開始したのは 2023年7月のことであり、最初はドタバタしていましたが、2ヶ月が経って落ち着いたようです。これで、いまの脅威に対して、適切な体制が整ったと思って良さそうですね。なお、文中の末尾にある、脆弱性 CVE-2023-41061/CVE-2023-41064 は、すでに CISA KEV リストに追加されています。
You must be logged in to post a comment.