Apple は、iOS デバイスを NSO の Pegasus スパイウェアに感染させるために積極的に悪用され、CVE-2023-41064 として追跡されるゼロデイ脆弱性を修正するために、古い iPhone 用のセキュリティ アップデートをリリースしました。
CVE-2023-31064 はリモート コード実行の欠陥であり、悪意を持って作成された画像を iMessage 経由で送信することで悪用されます。
Citizen Lab が今月初めに報告したように、CVE-2023-31064 と CVE-2023-41061 として追跡される 2 番目の欠陥は、BLASTPASS と呼ばれるゼロクリック攻撃チェーンとして使用され、iMessage PassKit の添付ファイルで特別に細工された画像を送信してスパイウェアをインストールします。 。
電話機が添付ファイルを受信して処理すると、完全にパッチが適用された iOS (16.6) デバイスにも NSO の Pegasus スパイウェアがインストールされました。
AppleはmacOS Ventura 13.5.2、iOS 16.6.1、iPadOS 16.6.1、watchOS 9.6.2の2つの欠陥に対する修正をリリースし、 CISAは連邦政府機関に対し2023年10月2日までにパッチを適用するよう求める警告を発表した。
このセキュリティ アップデートは、iOS 15.7.9 および iPadOS 15.7.9 、 macOS Monterey 12.6.9 、およびmacOS Big Sur 11.7.10にバックポートされ、これらのデバイスでこの攻撃チェーンが使用されるのを防ぎます。
iOS 15のサポートは1年前の2022年9月に終了したが、ベンダーは依然としてMontereyとBig Surをサポートしていることは注目に値する。
このセキュリティアップデートは、iPhone 6sのすべてのモデル、iPhone 7、iPhone SEの第1世代、iPad Air 2、iPad miniの第4世代、iPod touchの第7世代を対象としています。
macOS コンピュータでは攻撃は観察されていませんが、この欠陥は理論的にはここでも悪用可能であるため、セキュリティ アップデートを適用することが強く推奨されます。
今年の初め以来、Apple は、iOS、macOS、iPadOS、watchOS を実行しているデバイスをターゲットに悪用された合計 13 件のゼロデイを修正しました。
- 7 月に2 回のゼロデイ(CVE-2023-37450 および CVE-2023-38606)
- 6 月に3 回のゼロデイ(CVE-2023-32434、CVE-2023-32435、および CVE-2023-32439)
- 5 月にさらに 3 つのゼロデイ(CVE-2023-32409、CVE-2023-28204、および CVE-2023-32373)
- 4 月の 2 つのゼロデイ(CVE-2023-28206 および CVE-2023-28205)
- 2 月のWebKit ゼロデイ(CVE-2023-23529)
Comments