3つのゼロデイ脆弱性が修正されたセキュリティアップデートを含むiOS 17.0.1およびiPadOS 17.0.1が配信される

Appleが2023年9月21日に、iOS17.0.1およびiPadOS17.0.1をリリースしました。iOS 17の正式版が配信されてわずか数日でのアップデートにはいくつかのバグ修正のほか、政治家やジャーナリストを標的として実際に悪用された3つのゼロデイ脆弱(ぜいじゃく)性の修正が含まれています。

About the security content of iOS 17.0.1 and iPadOS 17.0.1 - Apple Support
https://support.apple.com/en-us/HT213926

Apple emergency updates fix 3 new zero-days exploited in attacks
https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/

Apple rolled out emergency updates to address 3 new actively exploited zero-day flaws
https://securityaffairs.com/151174/hacking/apple-zero-days.html

修正された脆弱性は「CVE-2023-41991」「CVE-2023-41992」「CVE-2023-41993」の3つです。

◆CVE-2023-41991
セキュリティフレームワークで見つかった脆弱性で、攻撃者が悪意のあるアプリを使用して署名検証をバイパスする危険性をはらんでいました。アップデートにより証明書検証の問題が修正されました。

◆CVE-2023-41992
カーネルフレームワークに存在した脆弱性で、ローカル攻撃者により権限の昇格が行われる可能性がありました。この問題はチェック機能を改善することで修正されました。

◆CVE-2023-41993
WebKitに存在した脆弱性で、攻撃者が被害者をだまして特別に作成されたウェブコンテンツにアクセスさせ、任意のコードを実行させる危険性がありました。この問題もチェック機能を改善することで修正されました。

これら3つの脆弱性は、いずれもiOS 16.7より前のバージョンのiOSに対して積極的に悪用された可能性があるとのこと。

アップデートの対応機種は、iPhone XS以降のiPhone、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降となっています。