Apple、2つのゼロデイ攻撃ベクトルを修正

Apple の iOS、macOS、Safari、visionOS、iPadOS 向けの最新のセキュリティアップデートには、現在悪用されている 2 つの脆弱性に関する簡潔ながら重要な情報開示が含まれていました。

同社は、これらの脆弱性をGoogleの脅威分析グループのクレメント・ルシーニュ氏とブノワ・セブンス氏が発見したと発表した。NISTはこれらの脆弱性をCVE-2024-44308とCVE-2024-44309としてリストしている。

Apple が修正した脆弱性とは何ですか?

Appleは、今回の脆弱性の悪用や、攻撃者がこれらの脆弱性を利用して何をしたかについて、詳細な情報を公開していません。しかし、脅威分析グループは「政府支援によるGoogleとそのユーザーに対するハッキングと攻撃」に特化しているため、これらの脆弱性が特定の標的に対する資金力のある攻撃に利用された可能性はあります。

参照: ビジネスで Apple Pay を導入したいですか? ガイドでその方法をご覧ください。

CVE-2024-44308 により、攻撃者は悪意のあるウェブコンテンツを作成し、任意のコード実行につながる可能性があります。Apple は、この脆弱性が Intel ベースの Mac システムで使用されている可能性を検出しました。これは、2023 年から標準となっている Apple 独自の M チップを搭載したシステムとは異なります。Apple はこの問題を防ぐため、チェック機能を強化しました。

CVE-2024-44309も同様の悪用例があり、IntelベースのMacに適用されますが、修正方法は異なります。Appleは、状態管理を改善することでCookie管理の問題に対処したと述べています。

影響を受けるオペレーティング システムは次のとおりです。

• サファリ 18.1.1
• iOS 17.7.2
• iPadOS 17.7.2
• macOS セコイア 15.1.1
• iOS 18.1.1
• iPadOS 18.1.1
• ビジョンOS 2.1.1

Appleは2024年初頭に4つのゼロデイ脆弱性に直面した

最新の脆弱性に加えて、Apple は今年 4 つのゼロデイ脆弱性を公開しており、すべて修正プログラムを適用しています。

• CVE-2024-27834、ポインタ認証のバイパス。
• CVE-2024-23222、任意コード実行の脆弱性。
• CVE-2024-23225、メモリ破損の問題。
• CVE-2024-23296、別のメモリ破損の問題。

Appleデバイスは、AppleがApp Storeエコシステムをしっかりと管理していることもあって、ウイルスやマルウェアに対して安全であるという評判があります。しかし、だからといってこれらのデバイスがあらゆる攻撃から逃れられるわけではありません。複数の報告によると、脅威アクターは、特にインフォスティーラーやトロイの木馬を用いて、macOSへの侵入を試みることが増えています。

4月、Appleは特定のユーザーに対し、iPhoneが「傭兵スパイウェア攻撃」によって侵害されたことを通知しました。これは、脅威アクターが特定のユーザーを標的としている事例です。今年初めにAppleのMシリーズチップで発生したGoFetchの脆弱性のように、ハードウェアに他の脆弱性が発生する可能性もあります。

サイバーセキュリティのベストプラクティスを維持する

ゼロデイ脆弱性の開示は、ITチームにとって、ユーザーにOSのアップデートを定期的に適用し、企業のセキュリティガイドラインを遵守するよう注意喚起する絶好の機会です。強力なパスワードや2要素認証は大きな効果を発揮します。多くのサイバーセキュリティのベストプラクティスは、Appleを含むすべてのOSに適用可能です。

こちらもご覧ください

• Microsoft中心のオフィス環境でAppleデバイスを使用する方法
• AppleのiOS 18.2ベータ版にAI機能が登場
• たった40ドルでサイバーセキュリティの基本を自宅で学ぼう
• Apple：さらに必読の記事