CVE-2024-44308 and CVE-2024-44309: Apple Addresses Zero-Day Vulnerabilities
2024/11/19 SecurityOnline — Apple が公表したのは、同社の製品に存在する、2件の深刻なゼロデイ脆弱性 CVE-2024-44308/CVE-2024-44309 に関する情報である。この脆弱性が悪用されると、何百万台もの iPhone/iPad/Mac に加えて、最先端の Vision Pro ヘッドセットが攻撃にさらされる可能性があるという。したがって、Apple ユーザーに対して強く推奨されるのは、各デバイスの速やかな更新となる。
Apple の Web レンダリング・フレームワークにおける、不可欠なコンポーネントである JavaScriptCore と WebKit に存在する脆弱性が、Google TAG の Clement Lecigne と Benoit Sevens から報告された。これらの脆弱性が悪用されると、任意のコード実行やクロス・サイト・スクリプティング (XSS) 攻撃の可能性が生じる。
CVE-2024-44308:攻撃者は被害者を騙すことで、悪意を持って作成された Web コンテンツを処理させ、任意のコード実行を達成する可能性を得る。Apple は、JavaScriptCore 内のチェックを改善することで、この脆弱性に対処した。
CVE-2024-44309:この脆弱性により、細工された Web コンテンツを介したクロス・サイト・スクリプティング攻撃が可能になり、ユーザーのクッキーやセッション・データが、危険にさらされる可能性が生じる。Apple は、この脅威を軽減するために、クッキー状態の管理を強化した。
この脆弱性を用いた攻撃にについて、Apple は具体的な詳細を明らかにしていないが、Intel ベースの Mac システムへの攻撃で、積極的に悪用された可能性があることを認めている。
11月19日 (火) に発行されたアドバイザリで Apple は、「この脆弱性が、Intel ベースの Mac システムに対して、積極的に悪用された可能性があるという報告を認識している」と述べている。
脆弱性の影響は広範囲に及び、以下のデバイスが対象になるという:
- iPhone Models: iPhone XS and later
- iPads:
- iPad Pro 13-inch and iPad Pro 12.9-inch (3rd generation and later)
- iPad Pro 11-inch (1st generation and later)
- iPad Air (3rd generation and later)
- iPad (7th generation and later)
- iPad mini (5th generation and later)
- Macs: Devices running macOS Sequoia
- Apple Vision Pro: The cutting-edge mixed-reality device
すでに Apple は、以下のセキュリティ・アップデートをリリースす、これらの脆弱性を軽減している:
- iOS 17.7.2 and iPadOS 17.7.2
- iOS 18.1.1 and iPadOS 18.1.1
- macOS Sequoia 15.1.1
- visionOS 2.1.1
潜在的な悪用を回避するために、ユーザーに対して強く推奨されるのは、デバイスを直ちに更新することである。
Apple 製品群の脆弱性 CVE-2024-44308/44309 が FIX しました。同社のアドバイザリには、すでに悪用を観測していると、明示されていますが、Mac に関しては Intel-based と限定されています。ご利用の方は、アップデートを ご確認ください。よろしければ、Apple で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.