CISA が政府機関に iPhone と Mac を 5 月 1 日までにアップデートするよう命令

Cybersecurity and Infrastructure Security Agency (CISA) は、iPhone、Mac、および iPad をハッキングするために実際に悪用されている 2 つのセキュリティ脆弱性にパッチを適用するよう連邦機関に命じました。

2022 年 11 月に発行された拘束力のある運用指令 (BOD 22-01)によると、連邦民間行政機関 (FCEB) 機関は、CISA の既知の悪用された脆弱性カタログに追加されたすべてのセキュリティ バグに対してシステムにパッチを適用する必要があります。

FCEB の機関は、2023 年 5 月 1 日まで iOS、iPadOS、および macOS デバイスを保護する必要があります。 金曜日にApple が対処し、 月曜日に攻撃で悪用された CISA のバグのリストに追加された 2 つの欠陥から保護する必要があります。

最初のバグ (CVE-2023-28206) は、IOSurfaceAccelerator の境界外書き込みであり、攻撃者が悪意を持って作成されたアプリを使用して、ターゲット デバイスでカーネル権限を使用して任意のコードを実行できる可能性があります。

2 つ目 (CVE-2023-28205) は WebKit Use After Free の脆弱性で、攻撃者の制御下でターゲットをだまして悪意のある Web ページをロードさせた後、攻撃者がハッキングされた iPhone、Mac、または iPad で悪意のあるコードを実行できるようにします。

Apple は、入力の検証とメモリ管理を改善することで、iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1、および Safari 16.4.1 の 2 つのゼロデイに対処しました。

同社によると、影響を受けるデバイスのリストは非常に広範囲で、次のものが含まれます。

• iPhone8以降、
• iPad Pro (全モデル)、
• iPad Air 第3世代以降、
• iPad第5世代以降、
• iPad mini 第5世代以降、
• および macOS Ventura を実行する Mac。

この脆弱性は、Google の脅威分析グループとアムネスティ インターナショナルのセキュリティ ラボによって、エクスプロイト チェーンの一部として攻撃に悪用されているときに発見されました。

Google の Threat Analysis Group の Clément Lecigne と Amnesty International の Security Lab の Donncha Ó Cearbhaill は、Apple がバグを報告したと認めている人物です。

どちらの組織も、政府が後援する脅威アクターのキャンペーンを頻繁に報告しています。このキャンペーンでは、ゼロデイ脆弱性を悪用して、世界中の政治家、ジャーナリスト、反体制派などのリスクの高い個人のデバイスにスパイウェアをインストールしています。

Google TAG と Amnesty International は、商用スパイウェアを展開する最近の 2 つのキャンペーンで悪用された他の Android、iOS、Chrome のゼロデイおよび n デイ脆弱性に関する詳細情報を共有しました。

今日 CISA によって KEV カタログに追加された脆弱性は、高度に標的を絞った攻撃でのみ悪用された可能性が高いですが、潜在的な攻撃を防ぐために、できるだけ早くパッチを適用することをお勧めします。

2 か月前、Apple はWebKit の別のゼロデイ脆弱性(CVE-2023-23529) に対処しました。この脆弱性は、脆弱な iPhone、iPad、および Mac で OS のクラッシュを引き起こし、コードを実行するために悪用されました。