Apple は、iPhone、Mac、および iPad を侵害する攻撃で悪用された 2 つの新しいゼロデイ脆弱性に対処する緊急セキュリティ アップデートをリリースしました。
「Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています」と、金曜日に公開されたセキュリティアドバイザリで問題を説明する際に、同社は述べました。
最初のセキュリティ上の欠陥 (CVE-2023-28206 として追跡) は、IOSurfaceAccelerator の 境界外書き込みであり、データの破損、クラッシュ、またはコードの実行につながる可能性があります。
悪用に成功すると、攻撃者は悪意を持って作成されたアプリを使用して、ターゲット デバイスでカーネル権限を使用して任意のコードを実行できます。
2 つ目のゼロデイ (CVE-2023-28205) は、解放されたメモリを再利用する際にデータの破損や任意のコードの実行を可能にする WebKit Use After Free の脆弱性です。
この脆弱性は、ターゲットをだまして攻撃者の制御下にある悪意のある Web ページを読み込ませることで悪用される可能性があり、侵害されたシステムでコードが実行される可能性があります。
2 つのゼロデイ脆弱性は、iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1、および Safari 16.4.1 で対処され、入力の検証とメモリ管理が改善されました。
Apple によると、影響を受けるデバイスのリストは非常に広範囲に及び、次のものが含まれます。
- iPhone8以降、
- iPad Pro (全モデル)、
- iPad Air 第3世代以降、
- iPad第5世代以降、
- iPad mini 第5世代以降、
- および macOS Ventura を実行する Mac。
年初からパッチを適用した 3 つのゼロデイ
Apple は、現場での悪用レポートを認識していると述べていますが、同社はこれらの攻撃に関する情報をまだ公開していません。
しかし、この 2 つの欠陥は、Google の脅威分析グループの Clément Lecigne と Amnesty International の Security Lab の Donncha Ó Cearbhaill によって報告されていたことが明らかになりました。
両組織は、政府が支援する攻撃者がゼロデイ バグを悪用して、世界中の政治家、ジャーナリスト、反体制派、その他のリスクの高い個人のスマートフォンやコンピューターに商用スパイウェアを展開するキャンペーンを定期的に公開しています。
先週、Google TAG と Amnesty International は、Android、iOS、および Chrome のゼロデイと n デイの欠陥のエクスプロイト チェーンを使用して傭兵スパイウェアを展開する最近の 2 つの一連の攻撃を公開しました。
今日パッチが適用されたゼロデイは、標的を絞った攻撃でのみ使用された可能性が最も高いですが、潜在的な攻撃の試みをブロックするために、これらの緊急更新プログラムをできるだけ早くインストールすることを強くお勧めします.
2 月に、 Apple は別の WebKit ゼロデイ (CVE-2023-23529) に対処しました。これは攻撃で悪用され、OS のクラッシュを引き起こし、脆弱な iPhone、iPad、および Mac でコードを実行されます。
Comments