アップル社は、インテルベースのMacシステムに対する攻撃で悪用された2つのゼロデイ脆弱性を修正する緊急セキュリティ・アップデートをリリースした。
「Appleは、この問題が悪用された可能性があるという報告を認識している」と、同社は火曜日に発表したアドバイザリーで述べた。
2つのバグは、macOSのSequoia JavaScriptCore(CVE-2024-44308)とWebKit(CVE-2024-44309)コンポーネントに見つかった。
JavaScriptCore CVE-2024-44308 の欠陥により、攻撃者は悪意を持って細工されたウェブコンテンツを通じてリモートでコードを実行される可能性があります。もう1つの欠陥であるCVE-2024-44309は、クロスサイトスクリプティング(CSS)攻撃を可能にする。
同社によると、macOS Sequoia 15.1.1でセキュリティ上の欠陥に対処したという。
同じコンポーネントはアップルの他のOSにもあるため、iOS 17.7.2とiPadOS 17.7.2、iOS 18.1.1とiPadOS 18.1.1、visionOS 2.1.1でも修正された。
アップルによれば、この2つの欠陥はいずれもグーグルの脅威分析グループのClément Lecigne氏とBenoît Sevens氏によって発見されたものだが、どのように悪用されたのかについての詳細は明らかにされていない。
グーグルに問い合わせたところ、この欠陥がどのように悪用されたかを知るために、現時点ではこれ以上の情報は何もないとのことだった。
この2つの脆弱性により、アップル社は2024年に6つのゼロデイを修正したことになる。
この数は、アップルが野生の脆弱性を悪用した合計20件のゼロデイ欠陥を修正した昨年を大幅に上回っている:
- 11月に2つのゼロデイ(CVE-2023-42916とCVE-2023-42917)を修正。
- 10月に2つのゼロデイ(CVE-2023-42824とCVE-2023-5217
- 9月に5つの ゼロデイ(CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992、CVE-2023-41993)
- 7月に2つのゼロデイ(CVE-2023-37450およびCVE-2023-38606)
- 6月に3つのゼロデイ(CVE-2023-32434、CVE-2023-32435、CVE-2023-32439
- 5月にさらに3つのゼロデイ(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)
- 4月に2件のゼロデイ(CVE-2023-28206およびCVE-2023-28205
- 2月に別のWebKitゼロデイ(CVE-2023-23529)
Comments