Apple Addressed 2 New Ios Zero-Day Vulnerabilities
2023/11/30 SecurityAffairs — Apple の iPhone/iPad/Mac デバイスに影響を及ぼす、2件のゼロデイ脆弱性に対する緊急のセキュリティ・アップデートがリリースされた。この2件の脆弱性は、WebKit ブラウザ・エンジンに存在し、野放し状態の攻撃で積極的に悪用されている。
1つ目の脆弱性 CVE-2023-42916 は、境界外読み取り (out-of-bounds read) であり、その悪用に成功した攻撃者は、被害者を騙して特別に細工された Web コンテンツにアクセスさせ、機密情報を開示できる。
Apple は、「この問題が、iOS 16.7.1 未満に対して悪用された可能性があるという報告を認識している」と述べている。同社は、入力に対する検証を改善することで、この欠陥に対処した。
2つ目の脆弱性 CVE-2023-42917 は、メモリ破壊の脆弱性であり、その悪用に成功した攻撃者は、被害者を騙して特別に細工された Web コンテンツにアクセスさせ、そのデバイス上での任意のコード実行にいたる可能性がある。同社は、防御を開戦し、この欠陥に対処した。
この2件の脆弱性を発見したのは、Google TAG (Threat Analysis Group) の Clément Lecigne である。これらの問題が Google TAG に発見されたことを考えると、国家に支援される脅威アクターや監視のための企業に悪用されたことが示唆される。
Aoole は、iOS 17.1.2/iPadOS 17.1.2/macOS Sonoma 14.1.2/Safari 17.1.2 のリリースで、この欠陥に対処した。
この2件の脆弱性は、以下のデバイスに影響を及ぼす:
iPhone XS 以降
iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
iPad Pro 10.5-inch/iPad Pro 11-inch 1st 以降/iPad Air 3rd 以降/iPad 6th 以降/iPad mini 5th 以降。macOS Monterey/Ventura/Sonomaを実行する Mac。今年の Apple は、根茎の件を含めて 19件のゼロデイ欠陥を修正している。残りの 17件の脆弱性は、羽化の通りである。
- October 2023:CVE-2023-5217
- September 2023:CVE-2023-41993/CVE-2023-41991/CVE-2023-41992
- September 2023: CVE-2023-41064/CVE-2023-41061
- July 2023:CVE-2023-37450/CVE-2023-38606
- June 2023:CVE-2023-32434/CVE-2023-32435/CVE-2023-32439
- May 2023:CVE-2023-32409/CVE-2023-28204/CVE-2023-32373
- April 2023:CVE-2023-28206/CVE-2023-28205
- February 2023:CVE-2023-23529
Apple の iOS/macOS に脆弱性とのことですが、WebKit なので Safari が対象ですね。そして、この2件の脆弱性は、12月5日付けて、CISA KEV にも追加されました。最近の WebKit 関連の記事としては、2023/05/19 に「Apple の iPhone/Mac/WebKit の脆弱性が FIX:3件のゼロデイを含む数十件の欠陥」がポストされていました。よろしければ、WebKit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.