米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月11日(米国時間)、「Apple Releases Security Update for iCloud for Windows 13 |CISA」において、Appleが複数の脆弱性に対する修正を含んだ「Windows 用 iCloud 13」をリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって対象のシステム上で任意のコード実行やHSTS(HTTP Strict Transport Security)の回避などが行われる可能性がある。
Windows用iCloud 13で修正された脆弱性に関する情報は、Appleによる次のサポートページにまとめられている。
このアップデートで修正されている脆弱性は以下のとおり。
- CVE-2021-30852: Foundationフレームワークにおいて、悪意を持って作成されたWebコンテンツを処理する際に任意のコードを実行される可能性がある
- CVE-2021-30814: ImageIOにおいて悪意を持って作成された画像を処理する際に任意のコードを実行される可能性がある
- CVE-2021-30835,CVE-2021-30847: ImageIOにおいて悪意を持って作成された画像を処理する際に任意のコードを実行される可能性がある
- CVE-2021-30823: WebKitにおいて、ネットワーク上で特権的な地位を悪用した攻撃者によってHSTSを回避できる可能性がある
- 2021-30849: WebKitにおいて、悪意を持って作成されたWebコンテンツを処理する際に任意のコードを実行される可能性がある
Windows用iCloudはMicrosoft Storeからインストールすることができる。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、Appleによる上記セキュリティ情報を確認した上で必要に応じてアップデートを適用することを推奨している。