Apple macOS／iOS／tvOS のゼロデイ脆弱性 CVE-2024-23222 が FIX：悪用を観測

Apple fixes first zero-day bug exploited in attacks this year

2024/01/22 BleepingComputer — Apple は、セキュリティ・アップデートをリリースし、iPhone／Mac／Apple TV に影響を与える可能性があり、また、すでに攻撃で悪用されている、2024年初のゼロデイ脆弱性に対処した。1月22日に修正されたゼロデイ脆弱性 CVE-2024-23222 (iOS／macOS／tvOS) は、WebKit のタイプ・コンフュージョンの欠陥に起因し、標的デバイス上でのコード実行を攻撃者にゆるす可能性があるものだ。

この脆弱性の悪用に成功した攻撃者は、悪意の Web ページを開いた後に、脆弱な iOS／macOS／tvOS バージョンを実行しているデバイス上で、任意のコードを実行することが可能になる。

Apple は、1月22日に公開されたアドバイザリで、「悪意を持って細工された Web コンテンツを処理すると、任意のコードが実行される可能性がある。我々は、この問題が悪用された可能性があるという報告を受けている」と述べている。

同社は、このセキュリティ脆弱性の発見者を明らかにしていない。また、野放し状態での悪用を認識していると述べているが、現時点において、これらの攻撃に関する詳細は公表されていない。

Apple は CVE-2024-23222 に関して、iOS 16.7.5 以降／iPadOS 16.7.5 以降／macOS Monterey 12.7.3 以降／tvOS 17.3 以降で改善している。

この WebKit のゼロデイ脆弱性は、古いモデルや新しいモデルに影響を与えるため、影響を受けるデバイスはかなり広範囲に及ぶ：

• iPhone 8／iPhone 8 Plus／iPhone X／iPad 第5世代／iPad Pro 9.7 インチ／iPad Pro 12.9インチ 第１世代
• iPhone XS 以降／iPad Pro 12.9 インチ 第２世代以降／iPad Pro 10.5 インチ／iPad Pro 11 インチ第１世代以降／iPad Air 第３世代以降／iPad 第６世代以降／iPad mini 第５世代以降
• macOS Monterey 以降を搭載した Mac
• Apple TV HD／Apple TV 4K (全モデル)

このゼロデイ脆弱性は、標的型攻撃にのみ悪用された可能性が高い。しかし、潜在的な攻撃の試みを阻止するためには、1月22日のセキュリティ・アップデートをできるだけ早くインストールすることが強く推奨される。

また、今回のアップデートで Apple は、11月にパッチを適用した他の２つの WebKit のゼロデイ CVE-2023-42916／CVE-2023-42917 についても、旧モデルの iPhone／iPad に対してパッチをバックポートした。

Apple が 2023年に 修正した、 野放し状態で悪用されたゼロデイ脆弱性 20件は以下の通り：

• 11月：２件 (CVE-2023-42916 ／CVE-2023-42917) 
• 10月：２件 (CVE-2023-42824 ／CVE-2023-5217)
• ９月：５件 (CVE-2023-41061／CVE-2023-41064／CVE-2023-41991／CVE-2023-41992／CVE-2023-41993)
• ７月：２件 (CVE-2023-37450 ／CVE-2023-38606)
• ６月：３件 (CVE-2023-32434／CVE-2023-32435／CVE-2023-32439)
• ５月：３件 (CVE-2023-32409／CVE-2023-28204／CVE-2023-32373)
• ４月：２件 (CVE-2023-28206 ／CVE-2023-28205)
• ２月：１件 (WebKit のゼロデイ CVE-2023-23529)

Apple の各製品 (iOS／macOS／tvOS) に影響を及ぼす、WebKit のタイプ・コンフュージョンの脆弱性 CVE-2024-23222 が FIX しました。上記のデバイスをご利用の方は、OS のアップデートを、ご確認ください。悪用も観測されているようなので、お急ぎください。よろしければ、Apple で検索も、ご利用ください。