Apple は、活発に悪用されているゼロデイ バグに対処するために、今週初めにリリースされたパッチを古い iPhone および iPad にバックポートするための新しいセキュリティ アップデートをリリースしました。
この脆弱性 (CVE-2022-42827) は、Apple が10 月 24 日(月) に iPhone および iPad デバイス向けにパッチを適用したものの 1 つです。潜在的な攻撃者は、攻撃に悪用された場合、これを使用してカーネル権限で任意のコードを実行できます。
境界外書き込みの問題は、匿名の研究者によって Apple に報告されました。これは、ソフトウェアがメモリ バッファーの境界外にデータを書き込むことができることが原因です。
これにより、データの破損、アプリケーションのクラッシュ、およびバッファに書き込まれた後続のデータからの未定義または予期しない結果 (メモリの破損とも呼ばれます) によるコードの実行が発生する可能性があります。
Apple は本日、 iOS 15.7.1 および iPadOS 15.7.1のゼロデイ脆弱性に対処し、境界チェックを改善しました。
影響を受けるデバイスのリストには、iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代) が含まれます。
古いデバイスにパッチを適用して攻撃をブロックする
Apple は、セキュリティ上の欠陥が実際に「積極的に悪用された可能性がある」ことを明らかにしましたが、これらの攻撃に関する情報はまだ公開していません。
このゼロデイは標的型攻撃でのみ使用された可能性が最も高いですが、潜在的な攻撃の試みをブロックするために、古いデバイスにもできるだけ早くパッチを適用することを強くお勧めします.
CISA はまた、このゼロデイを 10 月 25 日に既知の悪用された脆弱性のカタログに追加しました。これにより、連邦市民行政局 (FCEB) 機関は、「アクティブな脅威から」保護するためにパッチを適用する必要があります。
これは、今年に入ってから Apple が修正した 9 件目のゼロデイです。
- 9 月に、Apple は iOS カーネルの欠陥 (CVE-2022-32917) に対処しました。
- 8 月には、iOS カーネル (CVE-2022-32894) と WebKit (CVE-2022-32893) でさらに 2 つのゼロデイが修正されました。
- 3 月に、Apple は Intel Graphics Driver (CVE-2022-22674) と AppleAVD (CVE-2022-22675) の2 つのゼロデイ パッチを適用しました。
- 2 月に、Apple は、iPhone、iPad、および Mac を標的にするために悪用された別の WebKit ゼロデイ バグに対処するためのセキュリティ アップデートをリリースしました。
- 1 月に、 Apple はゼロデイの別のペアにパッチを適用して、カーネル権限でのコード実行 (CVE-2022-22587) と Web 閲覧アクティビティの追跡 (CVE-2022-22594) を可能にしました。
Comments