セキュリティ

AppleがiPhoneやMac向けのセキュリティアップデートをリリース、すでにハッキングに悪用された可能性も


Appleが現地時間の2022年8月17日、2件の「攻撃者によって悪用された可能性があるゼロデイ脆弱性」を修正するセキュリティアップデートを、macOS・iOS・iPadOSでリリースしました。

Apple security updates - Apple Support
https://support.apple.com/en-us/HT201222

Apple security updates fix 2 zero-days used to hack iPhones, Macs
https://www.bleepingcomputer.com/news/security/apple-security-updates-fix-2-zero-days-used-to-hack-iphones-macs/


New macOS 12.5.1 and iOS 15.6.1 updates patch “actively exploited” vulnerabilities | Ars Technica
https://arstechnica.com/gadgets/2022/08/apple-releases-macos-12-5-1-and-ios-15-6-1-for-actively-exploited-vulnerabilities/

ゼロデイ脆弱性は、ソフトウェアベンダーが気づいたりパッチを当てたりする前に、攻撃者や研究者によって発見されたセキュリティ上の欠陥を指します。研究者が発見して攻撃の概念実証を行うだけなら害はありませんが、攻撃者によって発見されたゼロデイ脆弱性が悪用される事例もたびたび報告されています。

新たにAppleは、2つのゼロデイ脆弱性を修正するため、緊急のセキュリティアップデートをリリースしました。リリースされたのはMac向けの「macOS Monterey 12.5.1」、iPhone向けの「iOS 15.6.1」、iPad向けの「iPadOS 15.6.1」の3バージョンであり、いずれも修正された脆弱性は同じです。2つのゼロデイ脆弱性は匿名の研究者によって報告されたもので、Appleは「攻撃者に悪用された可能性がある」と述べています。


修正された2つのゼロデイ脆弱性のうち、「CVE-2022-32894」はOSの中核を担うカーネルの脆弱性で、アプリがカーネル権限で任意のコードを実行することを可能にするとのこと。カーネル権限は最高レベルの特権であるため、この脆弱性が悪用されると効果的にデバイスを制御されてしまう危険性があります。

もう1つの「CVE-2022-32893」はHTMLレンダリングエンジンのWebKitに存在する脆弱性で、悪意のあるウェブサイトにアクセスした場合、任意のコードがリモートで実行される危険性があるそうです。

iPhoneで最新のソフトウェアアップデートをインストールするには、「設定」→「ソフトウェア・アップデートあり」をタップ。


アップデートのバージョンを確認し、「ダウンロードしてインストール」をタップすればOKです。


また、Googleも現地時間の8月16日に、デスクトップ版Chromeのセキュリティアップデートをリリースしました。バージョンはMacとLinuxが「104.0.5112.101」、Windowsでは「104.0.5112.102/101」となっています。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html


Google, Apple squash exploitable browser bugs • The Register
https://www.theregister.com/2022/08/17/google_chrome_bug/

今回のセキュリティアップデートには11件の脆弱性に対する修正プログラムが含まれており、中でも入力検証に関する「CVE-2022-2856」という脆弱性はすでに悪用が確認されているとのこと。これらの脆弱性を発見した研究者らには、Chrome脆弱性報奨金プログラムを通じて少なくとも2万9000ドル(約390万円)以上の報奨金が支払われています。

Chromeのセキュリティアップデートは、数日~数週間で順次展開される予定です。

この記事のタイトルとURLをコピーする

・関連記事
macOSに備わる複数のセキュリティ層を突破してすべてのファイルを読み取ることができる脆弱性が発見される - GIGAZINE

Appleが緊急アップデートをリリース、iPhoneやMacをハッキング可能なゼロデイ脆弱性を修正 - GIGAZINE

Appleに報告したゼロデイ脆弱性がサイレント修正される事態をセキュリティ研究者が報告 - GIGAZINE

「AppleはmacOSの既知のゼロデイ脆弱性を修正しないまま放置している」という指摘 - GIGAZINE

「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説 - GIGAZINE

Chromeで悪用事例も確認されたゼロデイ脆弱性を修正するための緊急アップデートが実施される - GIGAZINE

北朝鮮のハッカーグループがChromeのゼロデイ脆弱性「CVE-2022-0609」を悪用していたと判明 - GIGAZINE

Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 - GIGAZINE

in ソフトウェア,   ネットサービス,   ハードウェア,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.