iPad – IoT OT Security News

Apple iOS の脆弱性 CVE-2025-24201 が FIX：USB 制限モードの欠陥を修正

Apple Ships iOS 18.3.2 to Fix Already-Exploited WebKit Flaw

2025/03/11 SecurityWeek — 3月11日 (火) に Apple が発表したのは、モバイル OS の古いバージョンで悪用されている、WebKit の欠陥に対する修正を取り込んだ、iOS 18.3.2／iPadOS 1q8.3.2 のリリースである。この脆弱性 CVE-2025-24201 を悪用する攻撃者は、Web Content サンドボックスを突破する。Apple は「iOS バージョン 17.2 以下を使用する、特定の個人を標的にする、きわめて高度な攻撃で、悪用された可能性がある」と警告している。

Apple 製品群の脆弱性 CVE-2024-44308／44309 が FIX：悪用を観測

CVE-2024-44308 and CVE-2024-44309: Apple Addresses Zero-Day Vulnerabilities

2024/11/19 SecurityOnline — Apple が公表したのは、同社の製品に存在する、２件の深刻なゼロデイ脆弱性 CVE-2024-44308／CVE-2024-44309 に関する情報である。この脆弱性が悪用されると、何百万台もの iPhone／iPad／Mac に加えて、最先端の Vision Pro ヘッドセットが攻撃にさらされる可能性があるという。したがって、Apple ユーザーに対して強く推奨されるのは、各デバイスの速やかな更新となる。

iPhone／iPad の脆弱性 CVE-2024-23225／23296 が FIX：危険なゼロデイ CISA KEV 登録

CVE-2024-23225 & CVE-2024-23296: Apple Patches Actively Exploited 0-Day Flaws

2024/03/05 SecurityOnline — iPhone／iPad ユーザーに対して、深刻なセキュリティ警告が発出された。Apple は、２つのゼロデイ脆弱性 CVE-2024-23225／CVE-2024-23296 を修正する緊急パッチを配布したが、すでに攻撃が始まっているという。この脆弱性を積極的に悪用するハッカーが、Apple デバイスを制御しているという。

Apple iOS／macOS の深刻な脆弱性が FIX：ゼロデイ対応も含まれる

Apple Releases Security Updates to Patch Critical iOS and macOS Security Flaws

2023/12/12 TheHackerNews — 12月1日に Apple は、iOS／iPadOS／macOS／tvOS／watchOS／Safari のセキュリティ・パッチをリリースし、複数の脆弱性に対処した。さらに、先日に公開された２つのゼロデイ脆弱性についても、古いデバイスへのバックポートを行った。それらの中には、iOS／iPadOS の AVEVideoEncoder／ExtensionKit／Find My／ImageIO／Kernel／Safari Private Browsing／WebKit における、12件の脆弱性に対するアップデートも含まれる。なお、macOS Sonoma 14.2 に関しては、ncurses ライブラリに影響を及ぼす６件のバグを含む 39件の脆弱性を解決している。

Apple iOS ゼロデイを狙う Triangulation：巧妙な手口と検出回避のテクニックとは？

iOS Zero-Day Attacks: Experts Uncover Deeper Insights into Operation Triangulation

2023/10/24 TheHackerNews — Apple iOS デバイスを標的とする TriangleDB というインプラントは、少なくとも４種類のモジュールを搭載するようだ。その内容は、マイクの録音／iCloud Keychain の抽出／SQLite データベースからのデータの窃取／位置情報の窃取などと推定されている。この Operation Triangulation と名付けられたキャンペーンを操る敵対者は、侵害したデバイスから機密情報を密かに盗み出す一方で、その痕跡を隠蔽するために多大な労力を費やしたと、Kaspersky は詳述している。

Apple iOS のゼロデイ CVE-2023-42824 が FIX：バージョン 17.0.3 で対応

Apple patches another iOS zero-day under attack (CVE-2023-42824)

2023/10/05 HelpNetSecurity — Apple は、iOS／iPadOS 向けのセキュリティ・アップデートをリリースして、悪用が確認されているゼロデイ脆弱性 CVE-2023-42824 を修正した。この脆弱性はカーネルに存在し、影響を受ける iPhone／iPad におけるローカルの脅威アクターに対して、特権への昇格を許す可能性があるという。

Apple が大規模なセキュリティ・アップデートを実施：カーネルの脆弱性 CVE-2023-38606 などが FIX

Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks

2023/07/24 SecurityWeek — 7月24日に Apple は、同社の主力プラットフォームである iOS／macOS／iPadOS に対して、大規模なセキュリティ・アップデートを行なった。今回のアップデートには、iOS／macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれている。また、Apple によると、iOS／iPadOS／macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたという。

CISA KEV 警告 23/04/10：iPhone／Mac のバグを悪用する商用スパイウェア

CISA orders govt agencies to update iPhones, Macs by May 1st

2023/04/10 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iPhone／Mac／iPad の存在し野放し常態で悪用されている、２つの脆弱性にパッチ適用するよう連邦政府機関に命じた。2022年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された全てのセキュリティバグに対して、連邦民間行政機関 (FCEB) はパッチを適用することが求められている。

Apple の深刻なゼロデイ脆弱性が FIX：iOS／iPadOS／macOS で活発に悪用されている

Apple Releases Updates to Address Zero-Day Flaws in iOS, iPadOS, macOS, and Safari

2023/04/08 TheHackerNews — 2023年4月7日 (金) に Apple は、iOS／iPadOS／macOS および、Web ブラウザ Safari のセキュリティ・アップデートをリリースし、野放し常態で悪用されている２つのゼロデイ脆弱性に対処した。Apple は、１つ目の脆弱性 CVE-2023-28205 はメモリ管理の欠陥であり、２つ目の脆弱性 CVE-2023-28206 は入力検証の欠陥である。同社は、それぞれの脆弱性に対処した上で、活発に悪用された可能性があると認めている。

iPhone／iPad／Mac の新たなゼロデイ CVE-2023-23529 などが FIX

Apple fixes new WebKit zero-day exploited to hack iPhones, Macs

2023/02/13 BleepingComputer — Apple リリースした緊急セキュリティ・アップデートは、iPhone／iPad／Mac へのハッキング攻撃で使われる、新たなゼロデイ脆弱性に対処するものだ。今回のアップデートで修正されたゼロデイ脆弱性 CVE-2023-23529 [1, 2] は、WebKit の混乱を悪用し、侵害したデバイス上で OS クラッシュを誘発し、コード実行を許すものだ。

iPhone／iPad のゼロデイ脆弱性にパッチ適用：iOS 16.1 への移行を急ごう

Apple fixes new zero-day used in attacks against iPhones, iPads

2022/10/24 BleepingComputer — Apple は、月曜日に公開されたセキュリティ・アップデートにおいて、今年の iPhone 攻撃に悪用された、９つ目のゼロデイ脆弱性を修正した。今日のアドバイザリで Apple は、「このセキュリティ上の脆弱性が積極的に悪用されている可能性があるとする、レポートの存在を認識している」と述べている。この脆弱性 CVE-2022-42827 は、匿名の研究者が Apple に報告したものであり、メモリバッファの境界の外にデータを書き込む、境界外書き込みの問題に関するものだ。

Apple App Store の 2021年：160万件の危険／脆弱なアプリの配信が阻止された

Apple blocked 1.6 millions apps from defrauding users in 2021

2022/06/04 BleepingComputer — 今週、Apple App Store のアプリ審査チームは、2021年に申請された iOS アプリについて、343,000 件以上がプライバシー違反でブロックされ、157,000 件が詐欺／スパムの理由で却下されたと発表した。さらに App Store では、34,500 件以上のアプリが、文書化されていない機能や隠し機能を理由にブロックされ、155,000件のアプリが、承認後に新しい機能／性能を追加したことなどで削除されている。2021年を通じて App Review チームは、160 万件以上の危険／脆弱なアプリの追加やアップデートを阻止している。

Apple の緊急アップデート：iPhone／iPad／Mac の２つのゼロデイ脆弱性に対応

Apple issues emergency patches to fix actively exploited zero-days

2022/03/31 SecurityAffairs — Apple が、緊急のセキュリティ・パッチをリリースした。具体的には、iPhone／iPad／Mac のハッキングに活発に利用されている、２つのゼロデイ脆弱性に対応するものだ。１つ目のゼロデイ脆弱性 CVE-2022-22674 は、Intel Graphics Driver に存在し、悪意のアプリにカーネル・メモリ読み取りを許してしまう、境界外読取の問題である。Apple は、「この問題には、入力の検証を改善することで対処した。Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」とアドバイザリに記している。

Apple iOS 15.0.2 緊急アップデート：ゼロデイのコマンド実行脆弱性が FIX

Emergency Apple iOS 15.0.2 update fixes zero-day used in attacks

2021/10/11 BleepingComputer — Apple は、iOS 15.0.2／iPadOS 15.0.2 をリリースし、iPhone や iPad を標的とした攻撃で活発に悪用されている、ゼロデイ脆弱性を修正した。この脆弱性は、CVE-2021-30883 として追跡されている、IOMobileFrameBuffer における重要なメモリ破壊バグであり、脆弱なデバイス上のアプリケーションによる、カーネル権限でのコマンド実行を許してしまう。したがって、この脆弱性を悪用する脅威アクターによる、データの窃取や、さらなるマルウェアをインストールが実行される可能性が生じる。

Apple が iPhone / iPad / Mac で悪用されているセロデイ脆弱性に対応

Apple fixes zero-day affecting iPhones and Macs, exploited in the wild

2021/07/26 BleepingComputer — Apple は、iPhone / iPad / Mac 上で広く悪用されたゼロデイ脆弱性に対して、セキュリティ・アップデートを公開した。この脆弱性 CVE-2021-30807 は、匿名の研究者により報告された IOMobileFramebuffer カーネル拡張におけるメモリ破壊の問題である。Apple は、iOS 14.7.1 / iPadOS 14.7.1 / macOS Big Sur 11.5.1 のメモリ処理を改善することで、アプリケーションがカーネル権限で任意のコードを実行するという、バグを修正した。影響を受けるデバイスのリストには、Mac / iPhone 6s 以降 / iPad Pro (全モデル) / iPad Air 2 以降 / iPad 第5世代以降 / iPad mini 4 以降 / iPod touch (第7世代) が含まれる。