米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は7月27日(米国時間)、「CISA Adds One Known Exploited Vulnerability to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」にApple製品の新たな脆弱性を追加したと伝えた。対象の脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。

影響を受ける主な製品やサービスは次のとおり。

脆弱性の主な内容は次のとおり。

CVE番号 内容
CVE-2023-38606 Apple iOS、iPadOS、macOS、tvOS、watchOSにおけるアプリからセンシティブなカーネルの状態を変更できる

Appleは先日、iPhone、iPad、Mac、Apple Watch、Apple TVなど複数製品に複数の脆弱性が存在するとしてセキュリティアップデートの配信を開始した。Appleは脆弱性情報において共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値を示さないため深刻度を判断することが難しいが、CISAがカタログに追加したということはこの脆弱性を悪用したサイバー攻撃が確認されていることを意味しており、迅速に対応する必要があることを示している(参考「Apple製品の脆弱性悪用したサイバー攻撃確認、ただちにアップデートを | TECH+(テックプラス)」)。

脆弱性の情報は次のページに掲載されている。

  • About the security content of iOS 16.6 and iPadOS 16.6 - Apple Support

    About the security content of iOS 16.6 and iPadOS 16.6 - Apple Support

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • iOS 16.6
  • iOS 15.7.8
  • iPadOS 16.6
  • iPadOS 15.7.8
  • macOS Ventura 13.5
  • macOS Monterey 12.6.8
  • macOS Big Sur 11.7.9
  • Safari 16.6
  • tvOS 16.6
  • watchOS 9.6

該当するプロダクトを使用している場合は、迅速にアップデートを適用することが望まれる。