Language
Apple、カーネルとWebkitのセキュリティバグを悪用したパッチを適用 • The Register
ホームページホームページ > ニュース > Apple、カーネルとWebkitのセキュリティバグを悪用したパッチを適用 • The Register
最新ニュース

Apple、カーネルとWebkitのセキュリティバグを悪用したパッチを適用 • The Register

Jul 15, 2023

Appleは、同社のiPhone、iPad、macOSコンピュータ、Apple TVと時計に影響を与えるいくつかのセキュリティ上の欠陥に対する修正をリリースし、これらのバグの一部はすでに悪用されていると警告した。

以下は、月曜日の午後遅くにリリースされたすべてのセキュリティ更新プログラムの簡単なリストです。

米国政府のサイバーセキュリティ・インフラセキュリティ庁(CISA)も火曜日に警鐘を鳴らし、「攻撃者がこれらの脆弱性の一部を悪用して影響を受けるデバイスを制御する可能性がある」と警告した。 CISAはユーザーと管理者に対し、ソフトウェアアップデートを適用し、自動パッチ適用システムが適切に動作しているかを確認するよう呼び掛けた。 私たちはその意見を支持します。

Apple の WebKit ブラウザ エンジンにあるバグの 1 つである CVE-2023-32409 は、iPhone 6s (すべてのモデル)、iPhone 7 (すべてのモデル)、iPhone SE (第 1 世代)、iPad Air 2、iPad mini (第 4 世代)、およびiPod touch(第7世代)。 これは、Google の脅威分析グループ (TAG) の Clément Lecigne 氏と、アムネスティ インターナショナルのセキュリティ ラボの Donncha Ó Cearbhaill 氏によって発見されました。

iGiant の勧告によれば、「リモートの攻撃者が Web コンテンツのサンドボックスから侵入できる可能性がある」とのことです。 「Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。」

Appleは、境界チェックを改善することでこの問題を解決したと述べている。 そして、この大手テクノロジー企業は、この脆弱性がどのように悪用されたのか、誰によって悪用されたのかについては決して詳細を明らかにしていないが、このソフトウェアの厄介な点を発見したバグハンターは、このソフトウェアが被害者のデバイスにスパイウェアを展開するために使用されていると示唆しているようだ。

TAG は、エクスプロイトや監視ソフトウェアを販売する 30 社以上の商用スパイウェア メーカーを追跡しています。 ジャーナリスト、活動家、政治的反体制派はスヌープウェアの標的になる傾向があり、アムネスティはこれらの調査に強い関心を持っています。

Apple は、この同じセキュリティ アップデートのバッチで、iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第 1 世代)、iPad Air 2 のカーネル レベルのバグ CVE-2023-38606 を修正したと発表しました。 、iPad mini (第 4 世代)、iPod touch (第 7 世代)。 この欠陥は実際に悪用された可能性が高いようです。

「アプリは機密性の高いカーネル状態を変更できる可能性がある」とiPhoneメーカーは警告した。 「Apple は、この問題が iOS 15.7.1 より前にリリースされた iOS のバージョンに対して積極的に悪用された可能性があるという報告を認識しています。」

Apple は、Kaspersky の研究者である Valentin Pashkov 氏、Mikhail Vinogradov 氏、Georgy Kucherin 氏、Leonid Bezvershenko 氏、Boris Larin 氏がこのバグを発見したと認めています。このバグは、iPhone に TriangleDB スパイウェアを感染させるために使用されたカーネルの脆弱性に似ており、同様に前述のチームによって発見されました。

この最新のカーネル バグ CVE-2023-38606 は、macOS Ventura、Monterey、Big Sur を実行する Mac、Apple Watch Series 4 以降、Apple TV 4K (すべてのモデル)、Apple TV など、他のいくつかの Apple 製品にも影響します。 HD。

CVE-2023-37450 として追跡されている、tvOS 16、watchOS 9.6、macOS Ventura、iOS 16、iPadOS 16 にある WebKit の別の脆弱性も、Apple がパッチをプッシュする前に悪用された可能性があると言われています。 匿名の研究者によって報告されたこの欠陥は、Web コンテンツの処理時に発生し、任意のコードの実行につながる可能性があります。 パッチは、すべての Apple TV 4K モデル、Apple TV HD ボックス、Apple Watch Series 4 以降、および Ventura を実行している Mac で利用できます。

以前、Apple は、iOS 16.5.1 (c) および iPadOS 16.5.1 (c) の「迅速なセキュリティ対応」を通じて、一部の iPhone および iPad での同じ問題を修正しました。 これらは Apple が 5 月に展開し始めた新しいタイプのパッチですが、結果はまちまちです。

パッチは、デバイスが悪用から即座に保護するために自動的にダウンロードおよび適用されることになっており、これにより、ユーザーが後回しにしたり見逃したりして、キットが脆弱なままになる可能性がある通常のシステム更新サイクルを回避できます。 ®

ニュースを送ってください

1313入手してください13