画像: 鋳造所
Appleは木曜日、iPhoneとMacにいくつかの新機能を追加するアップデートを多数リリースしました。しかし、さらに重要なのは、これらのアップデートには、実際に悪用されていることが知られているセキュリティ脆弱性に対する3つの重大なゼロデイパッチが含まれていることです。最も深刻なバグは、ハッカーが個人データにアクセスし、悪意のあるアプリを介してデバイスを乗っ取ることを許してしまうものです。
WebKitの脆弱性はAppleのデバイスファミリーに広く存在し、iOS 16.5、iPadOS 16.5、watchOS 9.5、macOS 13.4、tvOS 16.5に加え、iOS/iPadOS 15.7.6、macOS Monterey 12.6.6、macOS Big Sur 11.7.7、Safari 16.5でも修正されています。これらのアップデートには、同じ5つのWebKit修正が含まれており、そのうち3つが悪用されたことが確認されています。
ウェブキット
- 影響: Webコンテンツの処理により機密情報が漏洩する可能性がある
- 説明:入力検証を強化することで、範囲外の読み取りに対処しました。
- WebKit Bugzilla: 255075
CVE-2023-32402:匿名の研究者
ウェブキット
- 影響: Webコンテンツの処理により機密情報が漏洩する可能性がある
- 説明: メモリ処理を強化し、バッファオーバーフローの問題を解決しました。
- WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
ウェブキット
- 影響:リモートの攻撃者がWebコンテンツサンドボックスを突破できる可能性があります。Appleは、この問題が実際に悪用されている可能性があるという報告を認識しています。
- 説明:この問題は、境界チェックを改善することで解決されました。
- WebKit Bugzilla: 255350
CVE-2023-32409: Google 脅威分析グループの Clément Lecigne 氏とアムネスティ インターナショナル セキュリティ ラボの Donncha Ó Cearbhaill 氏
ウェブキット
- 影響: Web コンテンツの処理により機密情報が漏洩する可能性があります。Apple は、この問題が悪用されている可能性があるという報告を認識しています。
- 説明:入力検証を強化することで、範囲外の読み取りに対処しました。
- WebKit Bugzilla: 254930
CVE-2023-28204:匿名の研究者
ウェブキット
- 影響:悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性がある。Appleは、この問題が実際に悪用されている可能性があるという報告を認識している。
- 説明:メモリ管理を改善し、解放済みメモリ使用の問題を解決しました。
- WebKit Bugzilla: 254840
CVE-2023-32373:匿名の研究者
3 つのゼロデイ脆弱性のうち 2 つ (CVE-2023-28204 と CVE-2023-32373) は、iOS および iPadOS (16.4.1 (a)) と macOS Ventura (13.3.1 (a)) 向けの Apple の最初の Rapid Security Response アップデートの一部として以前に修正されています。
iPhoneまたはiPadをアップデートするには、「設定」アプリを開き、「一般」 → 「ソフトウェア・アップデート」の順にタップしてください。Macの場合は、「システム設定」→「一般」→ 「ソフトウェア・アップデート」の順にタップしてください。Ventura以前のMacの場合は、「システム環境設定」→ 「ソフトウェア・アップデート」の順にタップしてください。
著者: マイケル・サイモン、Macworld編集長
マイケル・サイモンは20年以上にわたりAppleを取材しています。iPodがまだiWalkだった頃からSpymacで噂を取材し始め、Appleがこれまでに製造したほぼ全てのiPhoneを所有しています。妻と息子、そして数え切れないほどのガジェットと共にコネチカット州に住んでいます。
