Appleは本日、iOS 16.5.1、macOS 13.4.1などのリリースに伴い、セキュリティ上の脆弱性に対する重要な修正を2件提供しました。これらのアップデートは、最新の公開ソフトウェアを搭載したデバイスと、旧バージョンのソフトウェアを搭載したデバイスの両方に配信されます。注目すべきは、Appleがこれらの脆弱性が積極的に悪用されていると聞いているということです。

iOS 16.5.1 に搭載される主なユーザー向け機能は、Lightning - USB カメラアダプタのバグの修正です。

ただし、iPhone 6s 以降、最新の iPad や Mac、さらには Apple Watch を含むほぼすべての Apple デバイスには、最新のアップデートに 2 つの重要なセキュリティ パッチが付属しています。

悪用されたセキュリティ上の欠陥に対する2つのパッチ

最初の脆弱性修正パッチは、カーネル権限で任意のコードの実行を可能にする脆弱性を修正するものです。2つ目の脆弱性修正パッチは、悪意を持って作成されたWebコンテンツによる任意のコード実行を阻止するWebKitの脆弱性修正です。

Appleは、両方の欠陥が積極的に悪用されているという報告を認識しているため、できるだけ早くデバイスを更新するようにと述べています。

詳細は次のとおりです。

カーネル

対象機種: iPhone 8以降、iPad Pro（全モデル）、iPad Air（第3世代）以降、iPad（第5世代）以降、iPad mini（第5世代）以降

影響：アプリがカーネル権限で任意のコードを実行できる可能性があります。Appleは、この問題がiOS 15.7より前のバージョンのiOSで積極的に悪用されている可能性があるという報告を認識しています。

説明: 入力検証を強化することで整数オーバーフローに対処しました。

CVE-2023-32434: Kaspersky の Georgy Kucherin (@kucher1n)、Leonid Bezvershenko (@bzvr_)、Boris Larin (@oct0xor)

ウェブキット

対象機種: iPhone 8以降、iPad Pro（全モデル）、iPad Air（第3世代）以降、iPad（第5世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性がある。Appleは、この問題が実際に悪用されている可能性があるという報告を認識している。

説明: チェックを強化することで、型の混乱の問題が解決されました。

WebKit Bugzilla: 256567
CVE-2023-32439: 匿名の研究者

havebin.com を Google ニュース フィードに追加します。