Apple Releases Security Updates to Patch Critical iOS and macOS Security Flaws
2023/12/12 TheHackerNews — 12月1日に Apple は、iOS/iPadOS/macOS/tvOS/watchOS/Safari のセキュリティ・パッチをリリースし、複数の脆弱性に対処した。さらに、先日に公開された2つのゼロデイ脆弱性についても、古いデバイスへのバックポートを行った。それらの中には、iOS/iPadOS の AVEVideoEncoder/ExtensionKit/Find My/ImageIO/Kernel/Safari Private Browsing/WebKit における、12件の脆弱性に対するアップデートも含まれる。なお、macOS Sonoma 14.2 に関しては、ncurses ライブラリに影響を及ぼす6件のバグを含む 39件の脆弱性を解決している。
Apple の、一連の脆弱性の中で注目すべきは CVE-2023-45866 であり、ネットワーク上の特権的な立場にある攻撃者が悪用に成功すると、キーボードを介してキー入力が可能になるという、深刻なセキュリティの問題を引き起こす。
この脆弱性は、SkySafe のセキュリティ研究者 Marc Newlin により、先週に公開されたものであるが、iOS 17.2/iPadOS 17.2/macOS Sonoma 14.2 で修正され、チェック機能が改善されたと Apple は述べている。
また Apple は、任意のコード実行やサービス拒否 (DoS) 状態につながる可能性のある、2つの WebKit の欠陥 (CVE-2023-42890/CVE-2023-42883) の修正を取り込んだ Safari 17.2 をリリースしている。このアップデートは、macOS Monterey/Ventura を実行している Mac で利用可能となっている。
iOS 17.2 および iPadOS 17.2 は、物理的なアクセス権を持つ敵対者が、機密データを取得するという Siri のバグに対処した。それに加えて、ユーザーが通信相手の連絡先をユーザーが確認できるようにするという、iMessage 会話のプライバシー確保のための Contact Key Verification による、セキュリティ・アップグレードも行っている。
2023年10月に Apple は、「iMessage の Contact Key Verification は、ユーザー・デバイス自身における一貫性の証明を検証し、すべてのユーザー・デバイス間で Key Transparency の一貫性を確保することで、最先端技術を進歩させる。これらの改善により、主要なディレクトリ侵害だけでなく、透過性サービス自体の侵害も防止され、分割ビューによる提示/検出が可能になる」と説明している。
このアップデートと同時に、Apple は iOS 16.7.3 /iPadOS 16.7.3 をリリースし、8つのセキュリティ問題を解決している。そのうちの2つは、WebKit に関連する CVE-2023-42916/CVE-2023-42917 であり、野放し状態で活発に悪用されていることが、今月上旬に Microsoft により公表されていた。
この脆弱性に関しては、tvOS 17.2/watchOS 10.2 でもパッチが適用されている。この脆弱性の悪用の性質や、この脆弱性を悪用する脅威アクターの可能性については、現時点で詳細が明らかにされていない。
なにやら、たくさんの脆弱性があって、それらのプラットフォームも多岐にわたるので、何がなんだかよく分かりませんが、macOS も iOS も、アップデートが届いていたので、すぐに対応しました。いろいろと大変な世の中になってきましたね。よろしければ、Apple で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.