Apple、iOS/iPadOS 16.4.1およびmacOS 13.3.1で2件のゼロデイ脆弱性を修正
Appleは4月7日(現地時間)、iOS 16.4.1、iPadOS 16.4.1、およびmacOS Ventura 13.3.1をリリースした。Appleによると、これらの新バージョンにはそれぞれ2件の脆弱性の修正が含まれているという。脆弱性を悪用されると、攻撃者によって標的のデバイスで任意のコードを実行される危険性がある。すでにこれらの脆弱性を悪用した攻撃が確認されているとのことで、早急にアップデートを適用することが推奨されている。
該当する脆弱性の情報は、Appleによる次のセキュリティページにまとめられている。
About the security content of iOS 16.4.1 and iPadOS 16.4.1 - Apple サポート (日本)
About the security content of macOS Ventura 13.3.1 - Apple サポート (日本)
報告されている脆弱性は次の2件
CVE-2023-28206: IOSurfaceAcceleratorにおける不適切な入力検証によって範囲外のメモリ書き込みが行われ、カーネル権限で任意のコードが実行される危険性がある。
CVE-2023-28205: WebKitにおけるUse After Free(解放後のメモリ使用)問題によって、悪意を持って作成された Web コンテンツを処理した際に任意のコードが実行される危険性がある。
iPhone 8以降、iPad Proの全モデル、iPad Air第3世代以降、iPad第5世代以降、iPad mini第5世代以降、およびmacOS Venturaがこれらの脆弱性の影響を受けるとされている。また、CVE-2023-28205についてはmacOS Big SurおよびmacOS MontereyのSafariも影響を受けることが報告されており、Appleは修正版としてSafari 16.4.1もリリースしている。
About the security content of Safari 16.4.1 - Apple サポート (日本)
Appleは、これら2件のいずれの脆弱性に対しても「この問題が積極的に悪用された可能性があるという報告を認識しています」と説明している。攻撃による具体的な被害の範囲は明らかにされていないが、被害を防止するために早急に更新プログラムをインストールすることが推奨されている。
About the security content of iOS 16.4.1 and iPadOS 16.4.1 - Apple サポート (日本)
About the security content of macOS Ventura 13.3.1 - Apple サポート (日本)
報告されている脆弱性は次の2件
CVE-2023-28206: IOSurfaceAcceleratorにおける不適切な入力検証によって範囲外のメモリ書き込みが行われ、カーネル権限で任意のコードが実行される危険性がある。
CVE-2023-28205: WebKitにおけるUse After Free(解放後のメモリ使用)問題によって、悪意を持って作成された Web コンテンツを処理した際に任意のコードが実行される危険性がある。
iPhone 8以降、iPad Proの全モデル、iPad Air第3世代以降、iPad第5世代以降、iPad mini第5世代以降、およびmacOS Venturaがこれらの脆弱性の影響を受けるとされている。また、CVE-2023-28205についてはmacOS Big SurおよびmacOS MontereyのSafariも影響を受けることが報告されており、Appleは修正版としてSafari 16.4.1もリリースしている。
About the security content of Safari 16.4.1 - Apple サポート (日本)
Appleは、これら2件のいずれの脆弱性に対しても「この問題が積極的に悪用された可能性があるという報告を認識しています」と説明している。攻撃による具体的な被害の範囲は明らかにされていないが、被害を防止するために早急に更新プログラムをインストールすることが推奨されている。
