Appleは本日、「重要なバグ修正とセキュリティアップデート」を含むiPhoneとMac向けの新ソフトウェアをリリースした直後、修正されたセキュリティ上の欠陥の詳細を明らかにしました。特に注目すべきは、Appleがこれらの脆弱性が実際に悪用されているという報告を受けていることを明らかにしたことです。

Apple はセキュリティアップデートページで、iOS と macOS の両方で 2 つの欠陥 (同じもの) が修正されたことを共有しました。

1つ目は、アプリが「カーネル権限で任意のコードを実行」できる可能性があるIOSurfaceAcceleratorの脆弱性でした。2つ目は、悪意のあるコードの処理によって任意のコードが実行される可能性があるWebKitの脆弱性でした。

両方の欠陥について、Apple は「この問題が積極的に悪用されている可能性があるという報告を認識している」と述べており、安全のためにこれらのアップデートをできるだけ早くインストールするように呼びかけている。

詳細は次のとおりです。

IOSurfaceアクセラレータ

対象機種: iPhone 8以降、iPad Pro(全モデル)、iPad Air(第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降

影響：アプリがカーネル権限で任意のコードを実行できる可能性があります。Appleは、この問題が実際に悪用されている可能性があるという報告を認識しています。

説明: 入力検証を強化することで、範囲外書き込みの問題が解決されました。

CVE-2023-28206: Google 脅威分析グループの Clément Lecigne 氏とアムネスティ インターナショナル セキュリティ ラボの Donncha Ó Cearbhaill 氏

ウェブキット

対象機種: iPhone 8以降、iPad Pro(全モデル)、iPad Air(第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降

影響：悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性がある。Appleは、この問題が実際に悪用されている可能性があるという報告を認識している。

説明: メモリ管理を改善し、解放済みメモリ使用 (use-after-free) の問題を解決しました。

WebKit Bugzilla: 254797
CVE-2023-28205: Google 脅威分析グループの Clément Lecigne 氏とアムネスティ インターナショナル セキュリティ ラボの Donncha Ó Cearbhaill 氏

havebin.com を Google ニュース フィードに追加します。