米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2023年7月13日(米国時間)、「CISA Adds Two Known Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に2個の脆弱性を追加したと伝えた。

  • CISA Adds Two Known Vulnerabilities to Catalog|CISA

    CISA Adds Two Known Vulnerabilities to Catalog|CISA

影響を受ける主な製品やサービスは次のとおり。

脆弱性の主な内容は次のとおり。

CVE番号 脆弱性の内容
CVE-2022-29303 SolarView Compactにおけるコマンドインジェクションの脆弱性
CVE-2023-37450 Apple iOS、iPadOS、macOS、Safari WebKitにおけるコード実行の脆弱性

今回、CISAが追加したApple製品の脆弱性は、Appleが先日緊急性の高いとして「Rapid Security Responses」としてのアップデートを配信したもの(参考「iPhone、iPad、Macに深刻な脆弱性、Appleがセキュリティパッチ配信 | TECH+(テックプラス)」)。

しかしながら、このアップデートは特定のWebサイトが適切に処理できなくなるという理由で、配信が始まってすぐに停止され、そのあと再びさらに別のバージョンとして緊急アップデート(Rapid Security Responses)の配信が再開されるといったように短い間に対応が変わっている(参考「Apple、iPhone・iPad・Mac向けの緊急セキュリティパッチを再配信 | TECH+(テックプラス)」)。

状況がわかりにくいが、CISAが指摘しているように、この脆弱性はすでに悪用が確認されており迅速に対処する必要がある。iPhone、iPad、Macで最新のバージョンを使っている場合、迅速にバージョンアップの確認および最新版への更新を実施することが望まれる。