AppleのセキュリティアップデートでゼロデイWebkit脆弱性が修正される

Appleは、iOS、iPadOS、macOSに影響を与える2件のゼロデイ脆弱性を修正しました。ユーザーはiOS 17.1.2、iPadOS 17.1.2、macOS 14.1.2へのアップデートが推奨されています。これらの脆弱性はGoogleの脅威分析グループによって発見され、同グループは今週もChromeの脆弱性の修正に取り組んでいます。

これらの Apple OS の脆弱性とは何でしょうか?

Appleは11月30日のセキュリティアップデートに関する投稿で、「この問題がiOS 16.7.1より前のバージョンのiOSで悪用された可能性があるという報告をAppleは認識している」と述べている。これは、攻撃者がこれらの脆弱性を積極的に利用している可能性があることを示唆している。

Appleのアップデートによると、この問題はAppleのブラウザに使用されているエンジンであるWebKitに起因しており、「ウェブコンテンツの処理によって任意のコードが実行される可能性がある」とのことだ。アップデートでは、入力検証の改善を通じて境界外読み取りの脆弱性を修正し、ロックの改善によってメモリ破損の脆弱性を修復している。

参照：攻撃者は過去1年間、Appleデバイスに対して盗聴攻撃を仕掛けてきました。(TechRepublic) 

最初の脆弱性である境界外読み取りは、CVE-2023-42916として追跡されています。この脆弱性に対処するアップデートは、以下の製品で利用可能です。

• iPhone XS以降。
• iPad Pro 12.9インチ 第2世代以降。
• iPad Pro 10.5インチ。
• iPad Pro 11インチ 第1世代以降。
• iPad Air 第3世代以降。
• iPad 第6世代以降。
• iPad mini 第5世代以降。

2つ目の脆弱性であるメモリ破損は、CVE-2023-42917として追跡されています。この脆弱性に対処するアップデートは、以下の製品で利用可能です。

• iPhone XS以降。
• iPad Pro 12.9インチ 第2世代以降。
• iPad Pro 10.5インチ。
• iPad Pro 11インチ 第1世代以降。
• iPad Air 第3世代以降。
• iPad 第6世代以降。
• iPad mini 第5世代以降。

この脆弱性に関する情報はほとんどないが、Apple によれば、この脆弱性は Google の脅威分析グループの Clément Lecigne 氏が調査したとのことだ。同グループの使命は「政府支援の攻撃に対抗すること」とされている。

WebKitエクスプロイトに対する修復と保護

Appleユーザーは、一般的なセキュリティ対策としてだけでなく、今回のような脆弱性が存在する場合に備えて、OSが最新バージョンであることを確認する必要があります。Appleは最新のソフトウェアアップデートの完全なリストを提供しています。

Google脅威分析グループにとって忙しい一週間

Google脅威分析グループは今週初め、Google Chromeにおける境界外メモリアクセスとその他6件の脆弱性を発見し、修正しました。11月28日、Googleは以下の脆弱性に対処するためのChromeアップデートを発表しました。

• スペルチェックで混乱を入力。
• Mojo で無料で使用してください。
• WebAudio で空き時間を利用してご利用ください。
• libavif での範囲外のメモリアクセス。
• libavif で解放後に使用します。
• Skia での整数オーバーフロー。

「開発サイクル中にセキュリティバグが安定チャンネルに及ばないように協力してくれたすべてのセキュリティ研究者にも感謝したい」とChromeチームはセキュリティアップデートに関する投稿に記した。

TechRepublicは、この件についてAppleとGoogleにコメントを求めました。Appleはセキュリティリリースノートを参照するよう指示しましたが、Googleは記事掲載時点で回答していません。

こちらもご覧ください

• Appleの脆弱性により、iOSとmacOSのパスワードやSafariの閲覧履歴が漏洩する恐れ
• 複数のiPhoneを1つのApple IDに接続するときによくあるエラー
• iPhoneからApple IDを削除する方法
• Apple IDを2台目の新しいiPhoneまたはリセットされたiPhoneに関連付ける方法
• Apple：さらに必読の記事