Apple、ゼロデイ脆弱性に対応する緊急アップデートを配布

ニュース

アップルは、脆弱性により攻撃者がアップルの古いデバイスを完全に制御できる可能性があるため、古いモバイルおよびデスクトップデバイスのユーザーに早急にソフトウェアをアップデートするよう促しています。

Appleは今週、旧モデルのiPhone、iPad、iPodに存在するゼロデイ脆弱性に対処するためのセキュリティアップデートを緊急に公開しました。

このパッチは、攻撃者に悪用され、デバイスを制御される可能性のある境界外書き込みの問題に対処するために、水曜日に配布されました。米国サイバーセキュリティ・インフラストラクチャー局(CISA)は本日、ユーザーおよびIT管理者に対し、Appleの勧告HT213428を確認し、必要な更新プログラムを適用するよう奨励しました。

Appleは、この脆弱性が積極的な悪用によって注目されたかどうかについてコメントを求めたところ、すぐには回答しませんでしたが、そのセキュリティアップデートには、”Appleはこの問題が積極的に悪用された可能性があるという報告を認識しています “と書かれていました。

このソフトウェアの欠陥は、米国国土安全保障省(DHS)の一部門が資金提供し、セキュリティ上の脆弱性や暴露の公開を保証するシステムであるCVE(Common Vulnerabilities and Exposures)データベースに登録されています。

J. Gold Associates, LLCのプリンシパル・アナリストであるJack Gold氏は、「問題は、Webページが特定の方法で構築された場合、通常の封じ込めの範囲外でデバイス上でコードが実行され、事実上デバイス上にマルウェア状況を作り出し、データ、コンタクト、ロケーション、不正なSWなどを侵害する可能性があることです」と述べています。

“だから、大変なんだ “と付け加えた。

この脆弱性は、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch(第6世代)、および古いバージョンのmacOSを搭載したコンピュータに影響します。

この問題は、新しいモデルではなく、その古いデバイス群に影響するということは、危険にさらされるデバイスが比較的少ないことを意味すると、ゴールド氏は指摘します。それでも、古いデバイスをお持ちの方は、できるだけ早くアップデートを行うべきであると述べています。

古いデバイスに提供されるパッチは重要でないように見えるかもしれませんが、サイバー犯罪者はパッチが適用されていない古いテクノロジーを特に好みます。特に、その脆弱性によって彼らが完全にコントロールでき、他のシステムやサービスにアクセスできるようになる場合です。

“攻撃者は、特別に細工されたウェブサイトに潜在的な犠牲者を誘い込むか、またはマルバタイジングを使用して、この脆弱性を悪用して脆弱なシステムを危険にさらすことができます。” Malwarebytesは、今日のブログ投稿で述べています。”脆弱性は、AppleのHTMLレンダリングソフトウェア(WebKit)に存在するので。WebKitは、すべてのiOSのWebブラウザとSafariに電力を供給するので、可能性のあるターゲットは、iPhone、iPad、およびMacであり、これらはすべて不正なコードを実行するようにだまされる可能性があります。”

この問題は、iOS15.6.1、iPadOS15.6.1、macOS Monterey12.5.1で修正されています。アップルは、最新版へのアップグレードを呼びかけています。

プロフィール

プロフィール
コードラボJP

大学卒業後SEに就職、現在は退職しフリーランスとして活動中。
『初心者でも挫折せずに一人でプログラミングを学べる』をモットーに、コードラボJPを開設
お問い合わせ等はcodelabsjp@gmail.comまで

コードラボJPをフォローする
タイトルとURLをコピーしました