Apple は、iPhone、Mac、iPad へのハッキング攻撃に悪用される 3 つの新たなゼロデイ脆弱性に対処しました。
「Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」と同社は、欠陥を説明したセキュリティ勧告の中で明らかにした。
セキュリティ バグはすべてマルチプラットフォーム WebKit ブラウザ エンジンで発見され、CVE-2023-32409、CVE-2023-28204、および CVE-2023-32373 として追跡されています。
1 つ目の脆弱性は、リモート攻撃者が Web コンテンツ サンドボックスから侵入できるようにするサンドボックス エスケープです。
残りの 2 つは、攻撃者が機密情報にアクセスするのに役立つ可能性のある境界外読み取りと、侵害されたデバイス上で任意のコードの実行を可能にする解放後の使用の問題で、どちらもターゲットをだまして悪意を持って作成された Web ページを読み込ませた後です ( Webコンテンツ)。
Apple は、macOS Ventura 13.4、iOS および iPadOS 16.5、tvOS 16.5、watchOS 9.5、Safari 16.5 の 3 つのゼロデイに、境界チェック、入力検証、メモリ管理を改善して対処しました。
このバグは古いモデルと新しいモデルに影響を与えるため、影響を受けるデバイスのリストは非常に広範囲にわたり、次のものが含まれます。
- iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第 1 世代)、iPad Air 2、iPad mini (第 4 世代)、iPod touch (第 7 世代)、iPhone 8 以降
- iPad Pro(全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- macOS Big Sur、Monterey、および Ventura を実行している Mac
- Apple Watch Series 4以降
- Apple TV 4K (全モデル) および Apple TV HD
同社はまた、CVE-2023-28204 および CVE-2023-32373 (匿名の研究者によって報告) が、5 月 1 日に発行された iOS 16.4.1 および macOS 13.3.1 デバイス用のRapid Security Response (RSR) パッチで初めて対処されたことも明らかにしました。
Appleの広報担当者は当時、5月のRSRアップデートでどのような欠陥が修正されたかについて問い合わせたが、詳細の要請には応じなかった。
2023 年に入ってから 6 回のゼロデイにパッチが適用されました
Appleは、本日パッチが適用された3つのゼロデイが悪用されていることは認識していると述べているが、これらの攻撃に関する情報は一切共有していない。
しかし、本日の勧告により、CVE-2023-32409 が Google 脅威分析グループの Clément Lecigne 氏とアムネスティ インターナショナル セキュリティ ラボの Donncha Ó Cearbhaill 氏によって報告されたことが明らかになりました。
2人の研究者が所属する組織は、ゼロデイバグを悪用して政治家、ジャーナリスト、反体制派などのスマートフォンやコンピューターに傭兵スパイウェアを展開する国家支援キャンペーンの詳細を定期的に公開している。
4 月、Apple は、Android、iOS、Chrome のゼロデイ脆弱性および n デイ脆弱性を悪用した、実際に蔓延している悪用チェーンの一部である他の 2 つのゼロデイ (CVE-2023-28206 および CVE-2023-28205) を修正しました。世界中の高リスクターゲットのデバイスに商用スパイウェアを展開します。
Apple は 2 月に、脆弱な iPhone、iPad、Mac 上でコードを実行する攻撃に悪用された WebKit ゼロデイ (CVE-2023-23529) をさらに 1 件解決しました。
Comments