Apple は、iPhone、Mac、iPad をターゲットとした攻撃で悪用されるゼロデイ脆弱性に対処するセキュリティ アップデートをリリースしました。
「Apple は、この問題が積極的に悪用された可能性があるという報告を認識している」と同社は、今月初めに行われた新しいラウンドの Rapid Security Response (RSR) アップデートで対処されたCVE-2023-37450 として追跡される WebKit の欠陥について説明したアドバイザリーの中で述べた。
本日パッチが適用されたもう 1 つのゼロデイ脆弱性は、CVE-2023-38606 として追跡されている新しいカーネルの欠陥で、古い iOS リリースを実行しているデバイスをターゲットとした攻撃に悪用されました。
「Apple は、この問題が iOS 15.7.1 より前にリリースされたバージョンの iOS に対して積極的に悪用された可能性があるという報告を認識している」と同社は述べた。
攻撃者は、パッチが適用されていないデバイス上でこれを悪用し、機密性の高いカーネル状態を変更する可能性があります。 Apple はチェックと状態管理を改善することで 2 つの弱点に対処しました。
同社はまた、tvOS 16.6 および watchOS 9.6 を実行しているデバイスに対して、5 月に対処されたゼロデイ (CVE-2023-32409) のセキュリティ パッチをバックポートしました。
Apple は、macOS Ventura 13.4、iOS および iPadOS 16.5、tvOS 16.5、watchOS 9.5、Safari 16.5 の 3 つのゼロデイに、境界チェック、入力検証、メモリ管理を改善して対処しました。
本日修正された 2 つのゼロデイの影響を受けるデバイスのリストは非常に広範囲に及び、その中には幅広い iPhone および iPad モデルに加え、macOS Big Sur、Monterey、Ventura を実行する Mac も含まれます。
今年パッチが適用された攻撃で悪用されたゼロデイは 11 件目
今年の初め以来、Apple は、iOS、macOS、iPadOS を実行しているデバイスを標的として攻撃者によって悪用された 11 件のゼロデイ欠陥にパッチを適用しました。
今月初め、Apple は、完全にパッチが適用された iPhone、Mac、iPad に影響を与えるバグ (CVE-2023-37450) に対処するために、帯域外の Rapid Security Response (RSR) アップデートをリリースしました。
同社はその後、RSR アップデートにより一部の Web サイトでのWeb ブラウジングが妨げられたことを確認し、2 日後にバグのあるパッチの修正版をリリースしました。
これに先立って、Apple は次の点についても言及しました。
- 6 月の3 回のゼロデイ(CVE-2023-32434、CVE-2023-32435、および CVE-2023-32439)
- 5 月にはさらに 3 回のゼロデイ(CVE-2023-32409、CVE-2023-28204、および CVE-2023-32373)
- 4 月の2 つのゼロデイ(CVE-2023-28206 および CVE-2023-28205)
- 2 月には別の WebKit ゼロデイ(CVE-2023-23529)
Comments