Apple、攻撃に利用されるiOS Webkitエンジンのゼロデイ脆弱性2件を修正:影響を受けるデバイスは?

2021年5月4日、AppleはハッカーがiPhone、iPad、iPod、macOS、Apple Watchデバイスへの攻撃に使用しているWebkitエンジンのiOSゼロデイ脆弱性のうち、積極的に悪用されている2つの脆弱性を修正するセキュリティアップデートを公開しました。

Appleが修正した脆弱性のあるWebkitはAppleのブラウザレンダリングエンジンであり、iOSのすべてのモバイルWebブラウザ、Apple MailやApp StoreなどのHTMLをレンダリングするその他のアプリケーションで使用されている主要な機能の1つです。

これらの脆弱性は、CVE-2021-30665およびCVE-2021-30663として登録されており、いずれも悪意のあるウェブサイトにアクセスするだけで、脆弱なデバイス上で任意のリモートコード実行(RCE)が可能となります。

RCEの脆弱性を使用して攻撃者がデバイスを標的にして、リモートでコマンドを実行することができるため、最も危険なものと考えられています。

CVE-2021-30665は、Qihoo 360 ATAのYang Kang氏、zerokeeper氏、Bian Liang氏によって発見され、CVE-2021-30663は、匿名を希望する研究者によってアップルに報告された脆弱性になります。

影響を受けるiOSデバイス

影響を受けるデバイスのリストは以下の通りです。

iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)、macOS Big Sur、Apple Watch Series 3およびそれ以降

このゼロデイ脆弱性については、2021年5月4日Apple社が配信するiOS 14.5.1、iOS 12.5.3、macOS Big Sur 11.3.1、watchOS 7.4.1のアップデートで修正されます。

今回のアップデートでアプリ内で「App Tracking Transparency」のプロンプトが表示されないというバグも解消されています。

Leave a Reply

Your email address will not be published.