Apple は、攻撃に悪用され、完全にパッチが適用された iPhone、Mac、iPad に影響を与える新たなゼロデイ バグに対処するために、新しいラウンドの Rapid Security Response (RSR) アップデートを発行しました。
「Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています」と同社は、 iOSおよびmacOS のアドバイザリで匿名のセキュリティ研究者によって報告された CVE-2023-37450 脆弱性について説明していると述べています。
Appleは「このRapid Security Responseは重要なセキュリティ修正を提供するものであり、すべてのユーザーに推奨される」とRSRパッチが配信されているシステムに対して警告している。
このサポート ドキュメントによると、RSR パッチは、iPhone、iPad、Mac プラットフォームのセキュリティ上の懸念に対処するために設計されたコンパクトなアップデートとして導入されており、メジャーなソフトウェア アップデートの間に発生するセキュリティの問題を解決するという目的を果たしています。
さらに、攻撃で積極的に悪用されるセキュリティの脆弱性に対抗するために、帯域外のセキュリティ アップデートも使用される場合があります。
自動更新をオフにした場合、または Rapid Security Response が提供されたときにインストールしなかった場合、将来のソフトウェア アップグレードの一部としてデバイスにパッチが適用されます。
本日の緊急パッチのリストには次のものが含まれます。
- macOS ベンチュラ 13.4.1 (a)
- iOS 16.5.1(a)
- iPadOS 16.5.1 (a)
この欠陥は Apple が開発した WebKit ブラウザ エンジンで発見されており、攻撃者が標的をだまして悪意を持って作成されたコンテンツを含む Web ページを開かせることで、標的のデバイス上で任意のコードを実行できるようになります。
同社は、悪用の試みを軽減するためのチェックを強化することで、このセキュリティの弱点に対処しました。
2023 年に 10 回目のゼロデイ パッチが適用される
2023 年の初め以来、Apple は、iPhone、Mac、または iPad をハッキングするために悪用された 10 件のゼロデイ欠陥にパッチを適用しました。
今月初め、Apple は、iMessage のゼロクリック エクスプロイトを介して iPhone に Triangulation スパイウェアを展開するために悪用された3 つのゼロデイ (CVE-2023-32434、CVE-2023-32435、および CVE-2023-32439) に対処しました。
また、5 月にはさらに 3 件のゼロデイ (CVE-2023-32409、CVE-2023-28204、および CVE-2023-32373) も修正されました。このゼロデイはアムネスティ インターナショナル セキュリティ ラボと Google 脅威分析グループの研究者によって最初に報告され、インストールに使用されていた可能性があります。傭兵スパイウェア。
4 月、Apple は、Android、iOS、および Chrome のゼロデイおよび n デイの欠陥をエクスプロイト チェーンの一部として使用し、所属するデバイスにスパイウェアを展開する他の 2 つのゼロデイ (CVE-2023-28206 および CVE-2023-28205) を修正しました。リスクの高いターゲットに。
Apple は 2 月に、脆弱な iPhone、iPad、Mac 上でコードを実行するために悪用された別の WebKit ゼロデイ (CVE-2023-23529) にパッチを適用しました。
Comments