月曜日にリリースされたセキュリティ アップデートで、Apple は、年初以来 iPhone に対する攻撃で使用された 9 番目のゼロデイ脆弱性を修正しました。
Apple は本日のアドバイザリで、セキュリティ上の欠陥が「積極的に悪用された可能性がある」という報告を認識していることを明らかにしました。
このバグ (CVE-2022-42827) は、匿名の研究者によって Apple に報告された 範囲外書き込みの問題であり、ソフトウェアが現在のメモリ バッファーの境界外にデータを書き込むことによって引き起こされます。
これにより、データの破損、アプリケーションのクラッシュ、またはコードの実行が発生する可能性があります。これは、後続のデータがバッファーに書き込まれることによる未定義または予期しない結果 (メモリの破損とも呼ばれます) が原因です。
Apple が説明しているように、攻撃に悪用された場合、潜在的な攻撃者がこのゼロデイを使用して、カーネル権限で任意のコードを実行できた可能性があります。
影響を受けるデバイスの完全なリストには、iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降が含まれます。
Apple はiOS 16.1 および iPadOS 16のゼロデイ脆弱性に対処し、境界チェックを改善しました。
iPhone と iPad にパッチを適用する
Apple は、この脆弱性の悪用に関する報告が実際に行われていることを認識していることを明らかにしましたが、これらの攻撃に関する情報はまだ公開していません。
これにより、攻撃者が追加のエクスプロイトを開発し、脆弱な iPhone や iPad を標的とする攻撃でそれらを使用し始める前に、Apple の顧客がデバイスにパッチを適用できる可能性があります。
このゼロデイ バグは、標的を絞った攻撃でのみ使用された可能性が高いですが、攻撃の試みをブロックするために、最新のセキュリティ更新プログラムをインストールすることを強くお勧めします。
これは、年初から Apple が修正した 9 回目のゼロデイです。
- 9 月に、Apple は iOS カーネルの欠陥 (CVE-2022-32917) に対処しました。
- 8 月には、iOS カーネル (CVE-2022-32894) と WebKit (CVE-2022-32893) でさらに 2 つのゼロデイが修正されました。
- 3 月に、Apple は Intel Graphics Driver (CVE-2022-22674) と AppleAVD (CVE-2022-22675) の2 つのゼロデイ パッチを適用しました。
- 2 月に、Apple は、iPhone、iPad、および Mac を標的にするために悪用された別の WebKit ゼロデイ バグに対処するためのセキュリティ アップデートをリリースしました。
- 1 月に、 Apple はゼロデイの別のペアにパッチを適用し、カーネル権限でのコード実行 (CVE-2022-22587) と Web 閲覧アクティビティの追跡 (CVE-2022-22594) を可能にしました。
Comments