Apple は、macOS、iPhone、および iPad のユーザーに対し、攻撃が活発に行われている XNUMX つのゼロデイに対する修正を含む、それぞれのアップデートを今週中に直ちにインストールするよう促しています。 パッチは、攻撃者が任意のコードを実行し、最終的にデバイスを乗っ取ることを可能にする脆弱性に対するものです。
実行中の影響を受けるデバイス用のパッチを利用できます iOSの15.6.1 & macOSモントレー12.5.1. Appleが水曜日にリリースしたセキュリティアップデートによると、パッチは15つの欠陥に対処し、基本的にiOS XNUMXまたはデスクトップOSのMontereyバージョンを実行できるすべてのAppleデバイスに影響を与えます.
欠陥の XNUMX つは、カーネルのバグ (CVE-2022-32894)、iOS と macOS の両方に存在します。 Apple によると、これは「境界チェックを改善することで対処された境界外書き込みの問題」です。
Apple によると、この脆弱性により、アプリケーションはカーネル特権を使用して任意のコードを実行できるようになり、「積極的に悪用された可能性がある」という報告があるとのことです。
2022 つ目の欠陥は、WebKit のバグ (CVE-32893-XNUMX として追跡) として特定されています。これは、Apple が改善された境界チェックで対処した境界外書き込みの問題です。 Apple によると、この脆弱性により、悪意を持って作成された Web コンテンツを処理できるようになり、コードの実行につながる可能性があり、積極的な悪用が報告されています。 WebKit は、iOS で動作する Safari およびその他すべてのサードパーティ ブラウザーを強化するブラウザー エンジンです。
ペガサスのようなシナリオ
両方の欠陥の発見は、Apple の開示以外にはほとんど知られていないが、匿名の研究者の功績によるものだ。
ある専門家は、Apple の最新の欠陥が「攻撃者にデバイスへのフル アクセスを効果的に与える可能性がある」と懸念を表明しました。 ペガサス風 国家レベルの APT が標的を攻撃したシナリオと同様のシナリオ スパイウェアで iPhone の脆弱性を悪用してイスラエルの NSO グループによって作成されました。
「ほとんどの人: XNUMX 日の終わりまでにソフトウェアを更新します。」 ツイート ゼロデイについて、SocialProof Security の CEO である Rachel Tobac 氏は次のように述べています。 「脅威モデルが上昇している場合 (ジャーナリスト、活動家、国家の標的など): 今すぐ更新してください」と Tobac 氏は警告しました。
ゼロデイは多い
欠陥は、今週、Google からの他のニュースとともに明らかにされました。 パッチを当てていた 今年これまでで XNUMX 回目の Chrome ブラウザのゼロデイ攻撃で、アクティブな攻撃を受けている任意のコード実行バグです。
トップ テクノロジー ベンダーのさらに多くの脆弱性が攻撃者によって集中攻撃されているというニュースは、トップ レベルのテクノロジー企業がソフトウェアの永続的なセキュリティ問題に対処するための最善の努力にもかかわらず、依然として困難な戦いであることを示しています。 プロモーション、ノルウェーのアプリ セキュリティ会社です。
iOS の欠陥は、iPhone がどこにでもあり、ユーザーが日常生活でモバイル デバイスに完全に依存していることを考えると、特に憂慮すべきものである、と彼は述べた。 ただし、これらのデバイスを保護する責任はベンダーだけにあるのではなく、ユーザーが既存の脅威にもっと注意を払う必要があると Whaley は観察しています。
「私たちは皆、モバイル デバイスに依存していますが、無敵というわけではありません。ユーザーとして、デスクトップ オペレーティング システムと同じように警戒を維持する必要があります」と彼は Threatpost への電子メールで述べています。
同時に、iPhone やその他のモバイル デバイス向けのアプリの開発者は、技術にセキュリティ コントロールのレイヤーを追加して、保護のために OS のセキュリティにあまり依存しないようにする必要があります。
「私たちの経験は、これが十分に起こっていないことを示しており、銀行や他の顧客を脆弱にする可能性があります」と彼は言いました.
