Apple は、先月リリースされたパッチをバックポートするためのセキュリティ アップデートをリリースし、古い iPhone および iPad で活発に悪用されているゼロデイ バグに対処しています。
脆弱性 ( CVE-2023-23529 ) は WebKit タイプの混乱の問題であり、同社は 2023 年 2 月 13 日に新しい iPhone および iPad デバイスで修正しました。
潜在的な攻撃者はこれを使用して OS のクラッシュを引き起こし、悪用に成功した後、侵害された iOS および iPadOS デバイスでコードを実行できます。
脅威アクターは、被害者をだまして悪意のある Web ページを開かせた後、標的の iPhone および iPad で任意のコードを実行できます (このバグは、macOS Big Sur および Monterey のSafari 16.3.1にも影響します)。
「悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています」と、Apple はゼロデイについて説明しています。 「Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。」
また、Apple は本日、iOS 15.7.4 および iPadOS 15.7.4 のゼロデイに対処し、チェックを改善しました。
影響を受けるデバイスのリストには、iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第 1 世代)、iPad Air 2、iPad mini (第 4 世代)、および iPod touch (第 7 世代) デバイスが含まれます。
実環境で悪用された最初のゼロデイ攻撃に今年パッチを適用
Apple は、この脆弱性が攻撃に悪用されたという報告を認識していると述べていますが、同社はこれらのインシデントに関する情報をまだ公開していません。
ただし、これは、実際に悪用されたゼロデイのセキュリティ パッチを公開する際の Apple の標準的な手順です。
技術的な詳細へのアクセスを制限することで、できるだけ多くのユーザーがデバイスを保護できるようになり、脆弱なデバイスを標的とする追加のエクスプロイトを開発および展開する攻撃者の取り組みを遅らせることができます。
CVE-2023-23529 ゼロデイは標的型攻撃でのみ使用された可能性がありますが、古いソフトウェアを実行している iPhone および iPad デバイスのユーザーを標的とする潜在的な攻撃の試みをブロックするために、今日のセキュリティ更新プログラムをできるだけ早くインストールすることを強くお勧めします。
1 月には、Apple はリモートで悪用可能なゼロデイ脆弱性 (Google の脅威分析グループの Clément Lecigne によって報告された) のパッチを古い iPhone および iPad にバックポートしました。
Comments