2022年04月06日 21時50分セキュリティ

「AppleはmacOSの既知のゼロデイ脆弱性を修正しないまま放置している」という指摘

Mac向けのセキュリティソフトウェアを開発するIntegoが、「AppleはmacOS Catalina(macOS 10.15以降)とmacOS Big Sur(macOS 11以降)に存在するゼロデイ脆弱性にパッチを当てることを怠っている」と指摘しています。

Apple Neglects to Patch Two Zero-Day, Wild Vulnerabilities for macOS Big Sur, Catalina - The Mac Security Blog
https://www.intego.com/mac-security-blog/apple-neglects-to-patch-zero-day-wild-vulnerabilities-for-macos-big-sur-catalina/

Apple has yet to fix exploits for macOS Big Sur and Catalina - 9to5Mac
https://9to5mac.com/2022/04/05/apple-has-yet-to-fix-zero-day-exploits-for-macos-big-sur-and-catalina-users/

2022年3月31日、AppleはmacOS Monterey(macOS 12以降)のバージョン12.3.1をリリースし、「2つの積極的に悪用されたゼロデイ脆弱性」にパッチを適用しました。

しかし、Integoは「macOS Montereyのバージョン12.3.1がリリースされてから1週間近くがたった今でも、AppleはmacOSの以前のバージョンであるBig SurとCatalinaに存在する同じゼロデイ脆弱性に対処するためのセキュリティアップデートをリリースしていません」と記し、Montereyで修正されたゼロデイ脆弱性がBig SurとCatalinaに残ったままであると指摘しています。

Appleは過去10年間、最新のmacOSとそれ以前のメジャーバージョン2つにパッチを適用してきました。しかし、Appleはこの慣行を止め、Monterey以前の2つのメジャーバージョンであるBig SurとCatalinaにセキュリティアップデートを提供しないという決定を下したとIntegoは指摘しています。

問題となっているゼロデイ脆弱性は以下の2つ。Montereyは2つの脆弱性に対応していますが、1つ前のメジャーバージョンであるBig Surは「CVE-2022-22675」と「CVE-2022-22674」のパッチが適用されていないままで、2つ前のメジャーバージョンであるCatalinaは「CVE-2022-22674」のパッチが適用されていないままです。

・CVE-2022-22674
「CVE-2022-22674」はIntel Graphics Driverコンポーネントに関する脆弱性で、Big SurとCatalinaの両方に影響を与える可能性が高いと考えられています。「CVE-2022-22674」はMontereyで修正された脆弱性ですが、Big SurとCatalinaのどちらに対しても脆弱なまま。

Appleはパッチノートで「CVE-2022-22674」について、「匿名の研究者から報告された脆弱性」と記していますが、リバースエンジニアリングなしで脆弱性が過去のmacOSに影響を与えるかどうかを確認することは「難しい」とのこと。なお、Integoは「『CVE-2022-22674』用のMontereyのパッチをリバースエンジニアリングできるようになるまで、過去の経験を踏まえ、この脆弱性がBig SurとCatalinaの両方に存在する可能性が高いと考えざるを得ません」と記しました。

・CVE-2022-22675
AppleのOSに存在する脆弱性を分析するMickey Jin氏は、macOS Montereyのバージョン12.3.1をリバースエンジニアリングすることで、Big Surに「CVE-2022-22675」が含まれていることを確認しています。さらに、Big SurをインストールしたM1搭載Macが「CVE-2022-22675」に対して脆弱なままであることも明らかになりました。

IntegoはBig Surで「CVE-2022-22675」が修正されていない理由についてAppleに問い合わせしたそうですが、記事作成時点では返答は得られていないとのこと。一方で、Catalinaには「CVE-2022-22675」の原因となる脆弱なコンポーネントのApple AVDが含まれていないため、Catalinaは同脆弱性の影響を受けません。

なお、Jin氏によるとiOS 14とiPadOS 14の両方も「CVE-2022-22675」に対して脆弱なままだそうです。ただし、Appleは2022年1月にiOS 14およびiPadOS 14のサポートを正式に停止しているため、Integoは「ユーザーがiOS 14/iPadOS 14以降のメジャーバージョンのOSにアップデートする必要があることは当然」と指摘しています。そして、iOS/iPadOSのバージョン15.4.1で「CVE-2022-22675」は修正されています。

一方で、一部のMacユーザーはBig SurからMontereyにアップグレードすることができません。

IntegoによるとAppleがBig SurとCatalinaに脆弱性の修正パッチを適用することを怠ったのは今回が初めてのこと。これ以前に報告された脆弱性については、Monterey、Big Sur、Catalinaのすべてに同時にパッチが適用されてきました。

Integoは「この記事の目的はBig SurとCatalinaに存在する『積極的に悪用されている2つの脆弱性』の存在を指摘すること」と前置きしながら、「Appleが積極的に悪用していると考えていない脆弱性が数十件あり、Big SurとCatalinaにはまだこれらの脆弱性が残ったままです」と指摘しています。

セキュリティ調査企業でアナリストとして活躍するJosh Long氏も、「以下はAppleがパッチを当てたあるいは当てていない脆弱性をまとめた表です。最新メジャーバージョンのmacOSでのみパッチが適用されていることに注意してください」と指摘。この表によると、12以上の脆弱性がパッチを適用されないまま放置されているということになります。

Here’s a preliminary look at what @Apple patched—and what they didn’t—in macOS Monterey 12.0.1 vs. Big Sur 11.6.1 vs. Security Update 2021-007 Catalina. (Reminder that some things *only* get patched for the current #macOS!) #macOSMonterey #infosec #security #Apple pic.twitter.com/0NbLGk5siI
— Josh Long (the JoshMeister) (@theJoshMeister)

Integoによると、記事作成時点でのmacOSのシェアは以下のグラフの通り。「CVE-2022-22674」と「CVE-2022-22675」の影響を受ける可能性のあるMac、つまりはBig SurもしくはCatalina以前のmacOSをインストールしているMacの割合は全体の55～60％程度だそうです。