Appleは本日、iOS 17.2のリリースと同時に、macOS 14.2をリリースしました。この新しいMacリリースには、iOSの2倍のセキュリティ修正が含まれています。最新アップデートで修正された20の脆弱性をご紹介します。

Appleのセキュリティアップデートページでは、macOS Sonoma 14.2に含まれる脆弱性修正の詳細が公開されています。幸いなことに、iOS 17.2の10個のセキュリティパッチと同様に、macOS 14.2で修正された20個の脆弱性は、いずれも実際に悪用されたものではありません。

ただし、次のような問題が修正されるため、アップデートをインストールすることは依然として重要です。

• Bluetoothの問題「ネットワークの特権を持つ攻撃者がキーボードを偽装してキーストロークを挿入できる可能性がある」
• 「アプリが機密性の高い位置情報を読み取る可能性がある」Find Myのバグ
• 「アプリがサンドボックスから抜け出せる可能性がある」カーネルの欠陥
• CoreMedia Playbackのバグにより、「アプリがユーザーの機密データにアクセスできる可能性がある」
• WebKitの脆弱性「Webコンテンツの処理により任意のコードが実行される可能性がある」

macOS Ventura 13.6.3およびMonterey 12.7.2にも同様のセキュリティパッチが付属しています。Macのシステム設定でアップデートが利用可能かどうかご確認ください。

macOS 14.2 の完全なセキュリティリリースノートは次のとおりです。

アクセシビリティ

対応OS: macOS Sonoma

影響: 物理キーボードを使用しているときに、アクセシビリティキーボードを介してセキュリティ保護されたテキストフィールドが表示される可能性があります。

説明: この問題は、状態管理を改善することで解決されました。

CVE-2023-42874: ドン・クラーク

アカウント

対応OS: macOS Sonoma

影響: アプリがユーザーの機密データにアクセスできる可能性がある

説明: ログエントリのプライベートデータの編集を改善することでプライバシーの問題に対処しました。

CVE-2023-42919: キリン (@Pwnrin)

Appleイベント

対応OS: macOS Sonoma

影響: アプリがユーザーの連絡先情報にアクセスできる可能性がある

説明: 機密情報の編集を改善することで、この問題に対処しました。

CVE-2023-42894: Noah Roskin-Frazee 氏と Prof. J. (ZeroClicks.ai ラボ)

Appleグラフィックスコントロール

対応OS: macOS Sonoma

影響: 悪意を持って作成されたファイルを処理すると、予期せぬアプリの終了や任意のコードの実行につながる可能性があります。

説明: 入力検証を強化することで、複数のメモリ破損の問題が解決されました。

CVE-2023-42901: Google Project Zero の Ivan Fratric 氏

CVE-2023-42902: Google Project Zero の Ivan Fratric 氏と Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

CVE-2023-42912: Google Project Zero の Ivan Fratric 氏

CVE-2023-42903: Google Project Zero の Ivan Fratric 氏

CVE-2023-42904: Google Project Zero の Ivan Fratric 氏

CVE-2023-42905: Google Project Zero の Ivan Fratric 氏

CVE-2023-42906: Google Project Zero の Ivan Fratric 氏

CVE-2023-42907: Google Project Zero の Ivan Fratric 氏

CVE-2023-42908: Google Project Zero の Ivan Fratric 氏

CVE-2023-42909: Google Project Zero の Ivan Fratric 氏

CVE-2023-42910: Google Project Zero の Ivan Fratric 氏

CVE-2023-42911: Google Project Zero の Ivan Fratric 氏

CVE-2023-42926: Google Project Zero の Ivan Fratric 氏

アップルVA

対応OS: macOS Sonoma

影響: 画像を処理すると任意のコードが実行される可能性がある

説明: メモリ処理を強化することでこの問題を解決しました。

CVE-2023-42882: Google Project Zero の Ivan Fratric 氏

アーカイブユーティリティ

対応OS: macOS Sonoma

影響: アプリがユーザーの機密データにアクセスできる可能性がある

説明: チェックを強化することでロジックの問題が解決されました。

CVE-2023-42924: ミッキー・ジン (@patch1t)

AVEビデオエンコーダ

対応OS: macOS Sonoma

影響: アプリがカーネルメモリを公開できる可能性がある

説明: 機密情報の編集を改善することで、この問題に対処しました。

CVE-2023-42884: 匿名の研究者

ブルートゥース

対応OS: macOS Sonoma

影響: 特権ネットワークポジションにいる攻撃者がキーボードを偽装してキーストロークを挿入できる可能性がある。

説明: チェックを強化することでこの問題を解決しました。

CVE-2023-45866: SkySafe の Marc Newlin 氏

CoreMedia再生

対応OS: macOS Sonoma

影響: アプリがユーザーの機密データにアクセスできる可能性がある

説明: チェックを強化することでこの問題を解決しました。

CVE-2023-42900: ミッキー・ジン (@patch1t)

コアサービス

対応OS: macOS Sonoma

影響: ユーザーが予期せぬアプリの終了や任意のコードの実行を引き起こす可能性があります

説明: 境界チェックの改善により、境界外読み取りに対処しました。

CVE-2023-42886: Koh M. 中川 (@tsunek0h)

拡張キット

対応OS: macOS Sonoma

影響: アプリがユーザーの機密データにアクセスできる可能性がある

説明: ログエントリのプライベートデータの編集を改善することでプライバシーの問題に対処しました。

CVE-2023-42927: Noah Roskin-Frazee 氏と Prof. J. (ZeroClicks.ai Lab)

検索

対応OS: macOS Sonoma

影響: アプリが機密性の高い位置情報を読み取る可能性がある

説明: 機密情報の編集を改善することで、この問題に対処しました。

CVE-2023-42922: SecuRing の Wojciech Regula (wojciechregula.blog)

イメージIO

対応OS: macOS Sonoma

影響: 画像を処理すると任意のコードが実行される可能性がある

説明: メモリ処理を強化することでこの問題を解決しました。

CVE-2023-42898: イ・ジュンソン

CVE-2023-42899: Meysam Firouzi @R00tkitSMM と Junsung Lee

IOKit

対応OS: macOS Sonoma

影響: アプリがユーザーの許可なしにキー入力を監視できる可能性がある

説明: 状態管理を改善することで認証の問題が解決されました。

CVE-2023-42891: 匿名の研究者

カーネル

対応OS: macOS Sonoma

影響: アプリがサンドボックスから抜け出せる可能性がある

説明: メモリ処理を強化することでこの問題を解決しました。

CVE-2023-42914: Synacktiv (@Synacktiv) の Eloi Benoist-Vanderbeken (@elvanderb)

ncurses

対応OS: macOS Sonoma

影響: リモートユーザーによって予期せぬアプリの終了や任意のコードの実行が行われる可能性がある

説明: この問題は、チェックを強化することで解決されました。

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

共有ファイルリスト

対応OS: macOS Sonoma

影響: アプリがユーザーの機密データにアクセスできる可能性がある

説明: チェックを強化することでこの問題を解決しました。

CVE-2023-42842: 匿名の研究者

TCC

対応OS: macOS Sonoma

影響: アプリが保護されたユーザーデータにアクセスできる可能性がある

説明: チェックを強化することでロジックの問題が解決されました。

CVE-2023-42932: Zhongquan Li (@Guluuisacat)

ヴィム

対応OS: macOS Sonoma

影響: 悪意を持って作成されたファイルを開くと、予期せぬアプリケーションの終了や任意のコードの実行につながる可能性があります。

説明: この問題は、Vim バージョン 9.0.1969 にアップデートすることで解決されました。

CVE-2023-5344

ウェブキット

対応OS: macOS Sonoma

影響: Web コンテンツの処理により任意のコードが実行される可能性がある

説明: メモリ処理を強化することでこの問題を解決しました。

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

ウェブキット

対応OS: macOS Sonoma

影響: 画像を処理するとサービス拒否攻撃を受ける可能性がある

説明: メモリ処理を強化することでこの問題を解決しました。

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive セキュリティチーム

追加の認識

ミー文字

ご協力いただいた Jerry Tenenbaum 氏に感謝申し上げます。

Wi-Fi

ご協力いただいた Noah Roskin-Frazee 氏および J. 教授 (ZeroClicks.ai Lab) に感謝いたします。

havebin.com を Google ニュース フィードに追加します。