Appleは9月11日(米国時間)、同社の複数の製品に悪用が確認されている脆弱性が存在しているとして、セキュリティアップデートの配信を開始したと伝えた。次の製品が脆弱性を抱えたオペレーティングシステムを搭載している可能性がある。
- iPhone 6s (すべてのモデル)
- iPhone 7 (すべてのモデル)
- iPhone SE (第1世代)
- iPod touch (第7世代)
- iPad Air 2
- iPad mini (第4世代)
- Mac
脆弱性が修正されたオペレーティングシステムおよびバージョンは次のとおり。
- iOS 15.7.9
- iPadOS 15.7.9
- macOS Monterey 12.6.9
- macOS Big Sur 11.7.10
脆弱性の情報は次のページにまとまっている。
- About the security content of iOS 15.7.9 and iPadOS 15.7.9 - Apple Support
- About the security content of macOS Monterey 12.6.9 - Apple Support
- About the security content of macOS Big Sur 11.7.10 - Apple Support
修正対象となっている脆弱性は次のとおり。
- 細工された画像データを処理することで任意のコードが実行されるバッファオーバーフローの脆弱性。Appleはこの脆弱性が活発にサイバー攻撃に悪用されていることを認めている。トロント大学マンク・スクールのシチズン・ラボによって報告され、「CVE-2023-41064」として特定されている
Appleは先日、より新しいプロダクトに対して同じ脆弱性の修正を含むセキュリティアップデートの配信を開始している。今回の配信はこの取り組みに続くものとなる(参考「iPhoneなどApple製品にスパイウェア展開するゼロデイ攻撃、すぐにアップデートを | TECH+(テックプラス)」)。
「CVE-2023-41064」に関しては先日、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)がカタログに追加したこともあり、アクティブにサイバー攻撃に悪用されていることが明らかになっている(参考「iPhoneやMacなどApple製品の脆弱性の悪用確認、アップデートを - CISA警告 | TECH+(テックプラス)」)。該当する製品を使用している場合には迅速にアップデートを適用することが望まれる。