アップルは、3月にリリースしたセキュリティパッチを古いiPhoneとiPadにバックポートし、攻撃で悪用されたとタグ付けされたiOSのゼロデイを修正した。
本日発表されたセキュリティ勧告の中で、アップルはこの脆弱性が “積極的に悪用されている可能性がある “という報告を認識していると再び述べた。
この欠陥は、AppleのRTKitリアルタイム・オペレーティング・システムにおけるメモリ破壊の問題であり、任意のカーネル・リードおよびライト能力を持つ攻撃者がカーネル・メモリ保護をバイパスすることを可能にする。同社はまだ、このセキュリティ脆弱性の発見をセキュリティ研究者の仕業としていない。
同社は3月5日、iPhone、iPad、Macの新モデル向けにこのゼロデイ脆弱性(CVE-2024-23296として追跡されている)に対処した。
本日、アップルは3月のセキュリティアップデートをバックポートし、iOS 16.7.8、iPadOS 16.7.8、macOS Ventura 13.6.7でこのセキュリティ上の欠陥に対処し、入力検証を改善した。
本日パッチが適用されたデバイスには、iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ第1世代が含まれる。
攻撃で悪用された3つのゼロデイ、2024年にパッチを適用
アップルはまだ、誰がこのゼロデイを公開したのか、あるいは社内で発見されたものなのかを明らかにしておらず、また、このゼロデイを悪用した攻撃がどのようなものなのかについての情報も提供していない。
AppleがCVE-2024-23296の悪用に関する詳細を公表していないにもかかわらず、iOSのゼロデイは、ジャーナリスト、反体制派、野党政治家など、リスクの高い個人を標的とした国家主導のスパイウェア攻撃で一般的に使用されています。
このゼロデイは標的型攻撃でのみ使用された可能性が高いが、iPhoneやiPadの古いモデルを使用している場合は、攻撃の可能性を阻止するために、できるだけ早く本日のセキュリティ・アップデートをインストールすることを強くお勧めする。
今年に入ってから、アップルは3件のゼロデイを修正した。3月に2件(CVE-2024-23225とCVE-2024-23296)、1月に1件(CVE-2024-23222)だ。
1月には、Appleはまた、2つのWebKitのゼロデイ(CVE-2023-42916とCVE-2023-42917)に対するパッチをバックポートしました。
今日のiOS 17.5のアップデートで、アップルはまた、不要な追跡アラートのサポートを追加した(グーグルはAndroid 6.0+デバイスで同じ機能を開始した)。
これらのアラートは、Bluetooth追跡デバイス(AirTag、Find My accessory、またはその他の業界仕様と互換性のあるBluetoothトラッカー)が自分の位置を追跡するために使用されている場合、ユーザーに警告を表示します。
Comments