米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月25日(米国時間)、「CISA Adds Three Known Exploited Vulnerabilities to Catalog|CISA」において、Apple製品が抱えている脆弱性を「Known Exploited Vulnerabilities Catalog」に追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2023-41991 - 複数のApple製品(iOS、iPadOS、watchOS、macOS Ventura)
- CVE-2023-41992 - 複数のApple製品(iOS、iPadOS、watchOS、macOS Ventura、macOS Monterey)
- CVE-2023-41993 - 複数のApple製品(iOS、iPadOS、Safari)
Appleは9月21日(米国時間)にiPhone、iPad、Mac、Apple Watchなど複数の製品に脆弱性が存在するとしてアップデートの配信を開始している。上記の脆弱性は先のアップデートで修正対象となっている(参考「iPhoneやMacなどApple製品に複数のゼロデイ脆弱性、すぐにアップデートを | TECH+(テックプラス)」)。
毎日のように、ソフトウェアやサービスの脆弱性に関する新しい情報が発信されているが、CISAがカタログに追加した脆弱性には特に注意が必要になる。CISAはアクティブに悪用が確認されている脆弱性をカタログに追加しており、カタログに追加された時点で悪用されていることを意味している。
Apple製品は日本でのシェアが高く、該当するプロダクトを使用しているユーザーが多い。使用している製品が脆弱性を含むバージョンかどうかを確認するとともに、該当する製品を使用している場合は迅速に最新版へアップデートすることが望まれる。