Apple は、 金曜日にリリースされたセキュリティ パッチをバックポートするための緊急アップデートをリリースしました。これは、古い iPhone、iPad、および Mac にも影響を与える、活発に悪用されている 2 つのゼロデイ欠陥に対処するものです。
「Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています」と、同社は月曜日に公開されたセキュリティアドバイザリで述べています。
1 つ目 (CVE-2023-28206 として追跡) は、IOSurfaceAccelerator の境界外書き込みの脆弱性であり、攻撃者が悪意を持って作成されたアプリを介して、標的のデバイス上でカーネル権限を使用して任意のコードを実行できるようにします。
2 番目のゼロデイ (CVE-2023-28205) は無料で使用される WebKit であり、攻撃者がターゲットをだまして悪意のある Web ページをロードさせた後、侵害された iPhone、Mac、または iPad で悪意のあるコードを実行させる可能性があります。
本日、Apple はiOS 15.7.5 および iPadOS 15.7.5 、 macOS Monterey 12.6.5 、およびmacOS Big Sur 11.7.6のゼロデイに、入力の検証とメモリ管理を改善することで対処しました。
同社によると、バグは現在、次のリストのデバイスにもパッチが適用されています。
- iPhone 6s (全モデル)、
- iPhone 7 (全モデル)、
- iPhone SE(第1世代)、
- 計算された空気 2、
- iPad mini(第4世代)、
- iPod touch(第7世代)、
- および macOS Monterey と Big Sur を実行する Mac。
この欠陥は、Google の脅威分析グループとアムネスティ インターナショナルのセキュリティ ラボのセキュリティ研究者によって報告され、エクスプロイト チェーンの一部として攻撃で悪用されていることを発見しました。
どちらの組織も、ジャーナリスト、政治家、反対派など、世界中のリスクの高い個人のデバイスにスパイウェアをインストールするために、同様の戦術と脆弱性を使用する政府支援の攻撃者について頻繁に報告しています。
たとえば、彼らは最近、Android、iOS、および Chrome のバグを標的とする2 つのエクスプロイト チェーンを悪用して商用監視マルウェアをインストールするキャンペーンの詳細を共有しました。
CISA はまた、iPhone、Mac、および iPad をハッキングするために実際に悪用されていることが知られているこれら 2 つのセキュリティ脆弱性に対して、 連邦政府機関にデバイスにパッチを適用するよう命じました。
2 月中旬、 Apple は別の WebKit ゼロデイ (CVE-2023-23529) にパッチを適用し、脆弱な iOS、iPadOS、および macOS デバイスでクラッシュを引き起こし、コードを実行する攻撃を受けました。
Comments