WebKitが攻撃される: アップル、新たなゼロデイ脆弱性3件に対する緊急パッチを発行
アップルは、活発に悪用されている3つのゼロデイ脆弱性に対応するため、各種OSおよびデバイス向けにセキュリティアップデートを公開しました。以下、セキュリティ上の欠陥の詳細です:
CVE-2023-32409:悪意のある行為者がWebコンテンツのサンドボックスから逃れることができるWebKitの欠陥です。これは、境界チェックを改善することで解決されました。
CVE-2023-28204: WebKit に境界外読み込みの問題があり、Web コンテンツの処理中に機密情報を漏洩する可能性がありました。入力検証を強化することで対処しました。
cve-2023-32373: WebKit に、悪意のあるウェブコンテンツを処理する際に任意のコードを実行される可能性のある、use-after-free のバグがあります。メモリ管理の改善により解決されました。
CVE-2023-32409を報告したのは、Googleの脅威分析グループ(TAG)のClément LecigneとAmnesty InternationalのセキュリティラボのDonncha Ó Cearbhaillとされています。他の2つの脆弱性については、匿名の研究者が報告した。
なお、CVE-2023-28204とCVE-2023-32373は、Rapid Security Responseアップデート(iOS 16.4.1 (a) およびiPadOS 16.4.1 (a))の一部として、今月初めにパッチが適用されています。
現在、脆弱性の詳細、攻撃の性質、および脆弱性を悪用する脅威者の身元に関する情報は限られています。しかし、同様の脆弱性は、反体制派、ジャーナリスト、人権活動家などの個人の端末にスパイウェアを展開する標的型攻撃で使用されています。
このセキュリティアップデートは、以下のデバイスおよびオペレーティングシステムで利用可能です:
iOS 16.5およびiPadOS 16.5:iPhone8以降、iPad Pro(全モデル)、iPad Air第3世代以降、iPad第5世代以降、iPad mini第5世代以降。
iOS 15.7.6およびiPadOS 15.7.6:iPhone 6s(全モデル)、iPhone 7(全モデル)、iPhone SE(第1世代)、iPad Air 2、iPad mini(第4世代)、およびiPod touch(第7世代)。
macOS Ventura 13.4:macOS Ventura。
tvOS 16.5:Apple TV 4K(全モデル)、Apple TV HD。
watchOS 9.5:Apple Watch Series 4以降。
Safari 16.5:macOS Big SurとmacOS Monterey。
2023年に入ってから、Appleはアクティブに悪用されるゼロデイ脆弱性計6件に対処している。2月には、リモートでコードが実行される可能性のあるWebKitの欠陥(CVE-2023-23529)を修正した。先月には、昇格した権限でコードを実行できる2つの脆弱性(CVE-2023-28205とCVE-2023-28206)の修正プログラムを公開し、LecigneとÓ Cearbhaillがこれらの脆弱性を報告したとされている。
私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099
この記事が気に入ったらサポートをしてみませんか?