2023年09月22日 13時00分 セキュリティ

3つのゼロデイ脆弱性が修正されたセキュリティアップデートを含むiOS 17.0.1およびiPadOS 17.0.1が配信される



Appleが2023年9月21日に、iOS17.0.1およびiPadOS17.0.1をリリースしました。iOS 17の正式版が配信されてわずか数日でのアップデートにはいくつかのバグ修正のほか、政治家やジャーナリストを標的として実際に悪用された3つのゼロデイ脆弱(ぜいじゃく)性の修正が含まれています。



About the security content of iOS 17.0.1 and iPadOS 17.0.1 - Apple Support

https://support.apple.com/en-us/HT213926





Apple emergency updates fix 3 new zero-days exploited in attacks

https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/





Apple rolled out emergency updates to address 3 new actively exploited zero-day flaws

https://securityaffairs.com/151174/hacking/apple-zero-days.html



修正された脆弱性は「CVE-2023-41991」「CVE-2023-41992」「CVE-2023-41993」の3つです。



◆CVE-2023-41991

セキュリティフレームワークで見つかった脆弱性で、攻撃者が悪意のあるアプリを使用して署名検証をバイパスする危険性をはらんでいました。アップデートにより証明書検証の問題が修正されました。



◆CVE-2023-41992

カーネルフレームワークに存在した脆弱性で、ローカル攻撃者により権限の昇格が行われる可能性がありました。この問題はチェック機能を改善することで修正されました。



◆CVE-2023-41993

WebKitに存在した脆弱性で、攻撃者が被害者をだまして特別に作成されたウェブコンテンツにアクセスさせ、任意のコードを実行させる危険性がありました。この問題もチェック機能を改善することで修正されました。





これら3つの脆弱性は、いずれもiOS 16.7より前のバージョンのiOSに対して積極的に悪用された可能性があるとのこと。



アップデートの対応機種は、iPhone XS以降のiPhone、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降となっています。