AppleがiPhoneやMac向けのセキュリティアップデートをリリース、すでにハッキングに悪用された可能性も

Appleが現地時間の2022年8月17日、2件の「攻撃者によって悪用された可能性があるゼロデイ脆弱性」を修正するセキュリティアップデートを、macOS・iOS・iPadOSでリリースしました。

Apple security updates - Apple Support
https://support.apple.com/en-us/HT201222

Apple security updates fix 2 zero-days used to hack iPhones, Macs
https://www.bleepingcomputer.com/news/security/apple-security-updates-fix-2-zero-days-used-to-hack-iphones-macs/

New macOS 12.5.1 and iOS 15.6.1 updates patch “actively exploited” vulnerabilities | Ars Technica
https://arstechnica.com/gadgets/2022/08/apple-releases-macos-12-5-1-and-ios-15-6-1-for-actively-exploited-vulnerabilities/

ゼロデイ脆弱性は、ソフトウェアベンダーが気づいたりパッチを当てたりする前に、攻撃者や研究者によって発見されたセキュリティ上の欠陥を指します。研究者が発見して攻撃の概念実証を行うだけなら害はありませんが、攻撃者によって発見されたゼロデイ脆弱性が悪用される事例もたびたび報告されています。

新たにAppleは、2つのゼロデイ脆弱性を修正するため、緊急のセキュリティアップデートをリリースしました。リリースされたのはMac向けの「macOS Monterey 12.5.1」、iPhone向けの「iOS 15.6.1」、iPad向けの「iPadOS 15.6.1」の3バージョンであり、いずれも修正された脆弱性は同じです。2つのゼロデイ脆弱性は匿名の研究者によって報告されたもので、Appleは「攻撃者に悪用された可能性がある」と述べています。

修正された2つのゼロデイ脆弱性のうち、「CVE-2022-32894」はOSの中核を担うカーネルの脆弱性で、アプリがカーネル権限で任意のコードを実行することを可能にするとのこと。カーネル権限は最高レベルの特権であるため、この脆弱性が悪用されると効果的にデバイスを制御されてしまう危険性があります。

もう1つの「CVE-2022-32893」はHTMLレンダリングエンジンのWebKitに存在する脆弱性で、悪意のあるウェブサイトにアクセスした場合、任意のコードがリモートで実行される危険性があるそうです。

iPhoneで最新のソフトウェアアップデートをインストールするには、「設定」→「ソフトウェア・アップデートあり」をタップ。

アップデートのバージョンを確認し、「ダウンロードしてインストール」をタップすればOKです。

また、Googleも現地時間の8月16日に、デスクトップ版Chromeのセキュリティアップデートをリリースしました。バージョンはMacとLinuxが「104.0.5112.101」、Windowsでは「104.0.5112.102/101」となっています。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html

Google, Apple squash exploitable browser bugs • The Register
https://www.theregister.com/2022/08/17/google_chrome_bug/

今回のセキュリティアップデートには11件の脆弱性に対する修正プログラムが含まれており、中でも入力検証に関する「CVE-2022-2856」という脆弱性はすでに悪用が確認されているとのこと。これらの脆弱性を発見した研究者らには、Chrome脆弱性報奨金プログラムを通じて少なくとも2万9000ドル(約390万円)以上の報奨金が支払われています。

Chromeのセキュリティアップデートは、数日～数週間で順次展開される予定です。