米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月18日(米国時間)、「Apple Releases Security Updates for Multiple Products|CISA」において、AppleがmacOSやiOS、iPadOS、およびSafariに対するセキュリティアップデートをリリースしたことを伝えた。
このアップデートでは、カーネルまたはWebKitにおいて任意のコードが実行される可能性のある2件のゼロデイ脆弱性が修正されている。
アップデート内容の詳細は、Appleによる次のセキュリティアドバイザリにまとめられている。
- macOS Monterey 12.5.1 のセキュリティコンテンツについて - Apple サポート (日本)
- iOS 15.6.1 および iPadOS 15.6.1 のセキュリティコンテンツについて - Apple サポート (日本)
- About the security content of Safari 15.6.1 - Apple サポート (日本)
今回アップデートの対象となっているプロダクトは次のとおり。
- macOS Monterey
- macOS Big Sur
- macOS Catalina
- iPhone 6sおよびそれ以降のバージョン
- iPad Pro (すべてのモデル)
- iPad Air 2およびそれ以降のバージョン
- iPad 第5世代およびそれ以降のバージョン
- iPad mini 4およびそれ以降のバージョン
- iPod touch (第7世代)
今回問題になっている脆弱性は次の2件で、Appleによればいずれの脆弱性もすでに悪用された可能性があるという報告を受け取っているという。
- CVE-2022-32894: アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある、カーネルの脆弱性
- CVE-2022-32893: 悪意を持って作成されたWebコンテンツを処理する際に、任意のコードを実行される可能性がある、WebKitの脆弱性
加えて、AppleではwatchOSに対するセキュリティアップデートもリリースしている。対象のプロダクトは次のとおり。
- Apple Watch Series 3
watchOSのアップデートについては、対象のCVSの公開エントリがないとのことで、詳細は明らかにされていない。