Apple は、リモートで悪用可能なゼロデイ脆弱性に対処するセキュリティ パッチを古い iPhone および iPad にバックポートしました。
このバグはCVE-2022-42856として追跡されており、Apple の Webkit Web ブラウザー ブラウジング エンジンの型の混乱の弱点に起因します。
Apple は、Google の Threat Analysis Group の Clément Lecigne によって発見された欠陥により、悪意を持って作成された Web ページが、脆弱なデバイス上で任意のコードを実行できる (そして機密情報にアクセスできる可能性が高い) 可能性があると述べています。
攻撃者は、ターゲットをだまして悪意を持って作成された Web サイトにアクセスさせることで、この欠陥を悪用することができます。
任意のコードが実行されると、基盤となるオペレーティング システムでコマンドを実行したり、追加のマルウェアやスパイウェア ペイロードを展開したり、その他の悪意のあるアクティビティをトリガーしたりする可能性があります。
本日公開されたセキュリティ アドバイザリで、Apple は再び、このセキュリティ上の欠陥が「積極的に悪用された可能性がある」という報告を認識していると述べました。
同社はゼロデイ バグに対処し、iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、および iPod touch (第 6 世代) の状態処理を改善しました。
古いデバイスを保護して攻撃をブロック
Apple は、積極的なエクスプロイトの報告を受けたことを明らかにしましたが、これらの攻撃に関する情報はまだ公開していません。
この情報を差し控えることで、Apple は、他の攻撃者がゼロデイの詳細を入手し、脆弱な iPhone や iPad を標的とするカスタム エクスプロイトの展開を開始する前に、できるだけ多くのユーザーがデバイスにパッチを適用できるようにすることを目指している可能性があります。
このセキュリティ上の欠陥は標的型攻撃でのみ使用された可能性が最も高いですが、潜在的な攻撃の試みをブロックするために、今日のセキュリティ更新プログラムをできるだけ早くインストールすることを強くお勧めします.
CISA は 12 月 14 日に、既知の悪用された脆弱性のリストにゼロデイを追加し、「アクティブな脅威に対して」セキュリティを確保するために、連邦民間行政機関 (FCEB) 機関にパッチを適用するよう要求しました。
本日、Apple は、Safari Web ブラウザーと最新の macOS、iOS、および watchOS バージョンのその他の多数のセキュリティ上の欠陥にもパッチを適用しました。
Comments