Appleは、iPhoneとMacユーザーをターゲットとした攻撃で悪用された2つの新たなゼロデイ脆弱性を修正するための緊急セキュリティアップデートをリリースし、年初以来、合計13件の悪用されたゼロデイ脆弱性がパッチされたことになる。
「Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」と同社は、セキュリティ上の欠陥を説明するセキュリティ勧告の中で明らかにした。
これらのバグはすべて Image I/O および Wallet フレームワークで発見され、CVE-2023-41064 (Citizen Lab のセキュリティ研究者によって発見) および CVE-2023-41061 (Apple によって発見) として追跡されています。
CVE-2023-41064 は、悪意を持って作成された画像を処理するときにトリガーされるバッファ オーバーフローの弱点であり、パッチが適用されていないデバイス上で任意のコードが実行される可能性があります。
CVE-2023-41061 は、悪意のある添付ファイルを使用して悪用され、対象のデバイス上で任意のコードが実行される可能性がある検証の問題です。
Apple は、ロジックとメモリ処理を改善して、macOS Ventura 13.5.2、iOS 16.6.1、iPadOS 16.6.1、watchOS 9.6.2 のゼロデイを修正しました。
影響を受けるデバイスのリストはかなり広範囲にわたり、2 つのセキュリティ バグが古いモデルと新しいモデルの両方に影響を与えることがわかります。そのリストには次のものが含まれます。
- iPhone 8以降
- iPad Pro(全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- macOS Ventura を実行している Mac
- Apple Watch Series 4以降
今年は悪用されたゼロデイが 13 件修正されました
今年の初め以来、Apple は、iOS、macOS、iPadOS、watchOS を実行するデバイスに対する攻撃で悪用された 13 件のゼロデイ バグにパッチを適用しました。
Appleは、本日パッチされた欠陥を悪用した攻撃に関する詳細をまだ明らかにしていないが、CVE-2023-41064がCitizen Labsによって発見され、報告されたことを認めた。同社の研究者らは以前、コンピュータに商用スパイウェアを展開するために悪用された他のAppleゼロデイに関する情報を共有していた。 iPhone は標的型攻撃にさらされています。
2 か月前の 7 月、Apple は、完全にパッチが適用された iPhone、Mac、iPad に影響を与える脆弱性 (CVE-2023-37450) に対処するために、帯域外の Rapid Security Response (RSR) アップデートをプッシュしました。
その後、RSR のアップデートにより、パッチが適用されたデバイスでのWeb ブラウジングが部分的に機能しなくなることが確認され、2 日後にバグのあるパッチの新しい修正バージョンがリリースされました。
Apple は今日までに次のような取り組みも行っていました。
- 7 月に2 回のゼロデイ(CVE-2023-37450 および CVE-2023-38606)
- 6 月の3 回のゼロデイ(CVE-2023-32434、CVE-2023-32435、および CVE-2023-32439)
- 5 月にはさらに 3 回のゼロデイ(CVE-2023-32409、CVE-2023-28204、および CVE-2023-32373)
- 4 月の2 つのゼロデイ(CVE-2023-28206 および CVE-2023-28205)
- 2 月には別の WebKit ゼロデイ(CVE-2023-23529)
Comments