本日、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、攻撃に悪用されることが知られているiPhone、Mac、iPadに影響を与える、最近パッチが適用された3件のゼロデイ欠陥に対処するよう連邦政府機関に命令した。
セキュリティ バグは CVE-2023-32409、CVE-2023-28204、および CVE-2023-32373 として追跡されており、すべて WebKit ブラウザ エンジンで見つかります。
これらにより、攻撃者はブラウザのサンドボックスを脱出し、侵害されたデバイス上の機密情報にアクセスし、悪用に成功した後に任意のコードを実行することができます。
同社は欠陥について説明する際、「Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」 と述べた。
3 つのゼロデイは、macOS Ventura 13.4、iOS および iPadOS 16.5、tvOS 16.5、watchOS 9.5、Safari 16.5 で解決され、境界チェック、入力検証、メモリ管理が改善されました。
影響を受けるデバイスの完全なリストは非常に広範囲にわたり、次のものが含まれます。
- iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第 1 世代)、iPad Air 2、iPad mini (第 4 世代)、iPod touch (第 7 世代)、iPhone 8 以降
- iPad Pro(全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- macOS Big Sur、Monterey、および Ventura を実行している Mac
- Apple Watch Series 4以降
- Apple TV 4K (全モデル) および Apple TV HD
国家支援のスパイウェア攻撃に悪用される可能性がある
Apple はバグが悪用された攻撃に関する具体的な詳細を明らかにしていないが、CVE-2023-32409 が Google の脅威分析グループの Clément Lecigne 氏とアムネスティ インターナショナルのセキュリティ ラボの Donncha Ó Cearbhaill 氏によって報告されたことを明らかにした。
2 人の研究者とそれぞれの組織は、ゼロデイ脆弱性を悪用して、政治家、ジャーナリスト、反体制派、その他の個人のデバイスに監視スパイウェアをインストールし、高度に標的を絞った攻撃を行う国家主導のキャンペーンに関する情報を頻繁に公開しています。
たとえば、彼らは3月に、Android、iOS、Chromeの欠陥の複雑なエクスプロイトチェーンを利用して傭兵スパイウェアをインストールする最近の2つのキャンペーンの詳細を明らかにしたが、そのうちの1つはSamsung ASLRバイパスの欠陥であり、金曜日にCISAが警告した。
パッチの締め切りは6月12日
2022 年 11 月に発行された拘束力のある運用指令 (BOD 22-01)に従って、連邦文民行政府機関 (FCEB) は、CISA の既知の悪用された脆弱性カタログにリストされているすべてのセキュリティ バグに対するパッチをシステムに適用する必要があります。
本日の更新により、FCEB 機関は 2023 年 6 月 12 日までに iOS、iPadOS、macOS デバイスを保護することが義務付けられました。
主に米国連邦機関を対象としていますが、民間企業も、攻撃に悪用されたバグの KEV リストに含まれる脆弱性の修正を最優先にすることを強くお勧めします。
CISAは月曜日、「この種の脆弱性は悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらす」と述べた。
4月には連邦政府機関に対し、Google TAGとアムネスティ・インターナショナルのセキュリティ研究者が報告した別のiOSとmacOSのセキュリティ欠陥からネットワーク上のiPhoneとMacを保護するよう警告された。
Comments