CVE-2024-23225 & CVE-2024-23296: Apple Patches Actively Exploited 0-Day Flaws
2024/03/05 SecurityOnline — iPhone/iPad ユーザーに対して、深刻なセキュリティ警告が発出された。Apple は、2つのゼロデイ脆弱性 CVE-2024-23225/CVE-2024-23296 を修正する緊急パッチを配布したが、すでに攻撃が始まっているという。この脆弱性を積極的に悪用するハッカーが、Apple デバイスを制御しているという。
ゼロデイ脆弱性とは?
ゼロデイ脆弱性とは、最も危険な種類のソフトウェア・バグである。開発者は、ハッカーたちによる攻撃が始まるまで、開発者を脆弱性の存在を知らないため、事前に解決策を作成する時間がない。Apple が緊急パッチを発行したということは、これらの脆弱性が特に深刻であり、野放し状態で活発に悪用されていたことを意味する。
今回の脅威とは?
この脆弱性 CVE-2024-23225/CVE-2024-23296 は、その性質と攻撃者が悪用する手法からして、特に憂慮すべきものである。1つ目のバグは、Apple の iOS のカーネルに潜んでいる。このカーネルとは、iOS/iPadOS の、すべての機能を構築する基盤である。この脆弱性の悪用に成功した攻撃者は、悪意のあるアプリをデプロイすることでシグネチャの検証を回避する可能性があり、システムの完全性とユーザー・データのプライバシーに甚大な脅威をもたらす。
2つ目の脆弱性は RTKit に存在する。RTKit はと、Apple のソフトウェア・エコシステムにおける重要なコンポーネントであり、iOS/iPadOS デバイスのリアルタイム操作を担当するものだ。この脆弱性により、悪意の Web サイトやアプリが、あなたのiPhone や iPad に有害なコードを注入し、実行することが可能になる。つまり、攻撃者が侵入するために悪用できる隠されたバックドアが作成されることになる。
Apple は、「任意のカーネルの読み書き能力を持つ攻撃者が、カーネル・メモリ保護をバイパスする可能性がある。Apple は、この脆弱性が悪用された可能性があるという報告を認識している」と、セキュリティ・アドバイザリで明らかにしている。
引き起こされる可能性のある被害
これらは、ありふれたバグではない。攻撃者は以下の可能性を持つことになる:
- あなたのデバイスへの、マルウェアやスパイウェアのインストール
- パスワード/写真/メッセージなどの個人情報の窃取
- カメラやマイクなどの機密機能へのアクセス
Apple の対応
Apple は、iOS 17.4/iPadOS 17.4/iOS 16.7.6/iPadOS 16.7.6 で、これらのセキュリティ・ホールを修正した。この修正により、悪意のソフトウェアの侵入を阻止するための厳しいチェックが行われる。
影響を受けるデバイス
iPhone と iPad の旧モデルを含む、幅広いバージョンが影響を受ける。以下のモデルを所有している場合には、この脆弱性の影響を被る:
- iPhone XS と、それ以降
- ほぼ全ての iPad Pro モデル
- iPad Air (第3世代以降)
- iPad (第6世代以降)
- iPad mini (第5世代以降)
今すぐアップデートを!
- Go to Settings -> General -> Software Update
- 最新のアップデートをダウンロードしてインストールする
アプリのレベルから、カーネルへの攻撃が可能となる、かなり危険な脆弱性 CVE-2024-23225/CVE-2024-23296 ですね。この2件の脆弱性は、3月6日付で CISA KEV にも登録されています。ご利用の方は、アップデートを、お急ぎください。よろしければ、Apple で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.