Apple、2つの大きなiOSのゼロデイ脆弱性を修正：すでに実世界で攻撃に使用されている可能性大

Appleは、iPhoneやMacを攻撃するため実世界で悪用されていることが確認されている2つのゼロデイ脆弱性を修正するセキュリティアップデートを公開しました。

1つは、iPhoneにスパイウェア「Pegasus」をインストールするために使用されることが知られています。

これらの脆弱性は、CVE-2021-30860およびCVE-2021-30858として追跡されており、いずれも悪意を持って作成された文書を脆弱なデバイスで開くとコマンドが実行されるというものです。

CVE-2021-30860 CoreGraphicsの脆弱性は、Citizen Labが発見した整数オーバーフローのバグであり、攻撃社が悪意を持って作成したPDF文書をiOSおよびmacOSで開いた際にコマンドを実行することができます。

CVE-2021-30858は、WebKitのuse after freeの脆弱性でハッカーが悪意のある細工をしたウェブページを作成し、iPhoneやmacOSでアクセスするとコマンドが実行されるというものです。アップルは、この脆弱性が匿名で公開されたとしています。

Appleは公開された両脆弱性に関するセキュリティアドバイザリにおいて「Appleは、この脆弱性が積極的に悪用された可能性があるという報告を認識しています」と述べています。

Apple security releases

This document lists security updates and Rapid Security Responses for Apple software.

Core Graphics : CVE-2021-30860
対応機種：iPhone 6s以降、iPad Pro（全モデル）、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch（第7世代）。
悪意を持って作成された PDF を処理すると、任意のコードが実行される可能性があります。Apple は、この問題が積極的に悪用されている可能性があるとの報告を受けています。
入力検証の改善により、整数オーバーフローに対応しました。

iOS 14.8 および iPadOS 14.8 のセキュリティコンテンツについて - Apple サポート (日本)

iOS 14.8 および iPadOS 14.8 のセキュリティコンテンツについて説明します。

Webkit : CVE-2021-30858
対象機種：iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。Apple は、この問題が積極的に悪用されている可能性があるとの報告を受けています。
メモリ管理の改善により、use after free の問題が解決されました。

Appleはこの脆弱性がどのように攻撃に利用されたかについての詳細な情報を公表していませんが、Citizen Labは、CVE-2021-30860が「FORCEDENTRY」と名付けられたゼロデイのゼロクリックiMessageエクスプロイトであることを確認しています。

The Citizen Lab

The Citizen Lab is an interdisciplinary laboratory based at the Munk School of Global Affairs & Public Policy, Universit...

「FORCEDENTRY」エクスプロイトは、iOSのセキュリティ機能「BlastDoor」をバイパスして、バーレーンの活動家が所有するデバイスにスパイウェア「NSO Pegasus」を展開するために使用されていたことが判明しています。

2021年に猛威を振るったAppleのゼロデイ

今年はAppleにとって非常に多くの脆弱性が見つかった年であり、iOSやMacデバイスに対する標的型攻撃に使用されるゼロデイ脆弱性が後を絶たないように思われます。

8月に公開されたFORCEDENTRYエクスプロイト（以前アムネスティ・テックがMegalodonとして追跡していたもの）。
2月に公開された、3件のiOSのゼロデイ（CVE-2021-1870、CVE-2021-1871、CVE-2021-1872）は、自然界で悪用され、匿名の研究者によって報告されました。
3月にiOSのゼロデイ（CVE-2021-1879）が1件発生しましたが、これも積極的に悪用された可能性があります。
4月にiOSのゼロデイ（CVE-2021-30661）とmacOSのゼロデイ（CVE-2021-30657）が1件ずつ発生し、Shlayerマルウェアに悪用された。
5月には、iOSのゼロデイが3件（CVE-2021-30663、CVE-2021-30665、CVE-2021-30666）発生し、悪意のあるウェブサイトにアクセスするだけで任意のリモートコードが実行されるバグが発見されました。
5月に発生したmacOSのゼロデイバグ（CVE-2021-30713）。このバグは、XCSSETマルウェアがAppleのTCCプライバシー保護機能を回避するために悪用されました。
6月には、古いiPhone、iPad、iPodをハッキングするために「積極的に悪用された可能性がある」2つのiOSのゼロデイバグ（CVE-2021-30761およびCVE-2021-30762）を公開しました。

またProject Zeroは、Windows、iOS、Android端末を標的とした攻撃に利用された11件のゼロデイ脆弱性を今年公開しています。

2021年に猛威を振るったAppleのゼロデイ

Comments