iPhoneなどに任意コード実行を可能とする脆弱性 直ちにアップデートを：セキュリティニュースアラート

Appleは複数製品の脆弱性を修正するセキュリティアップデートを公開した。ユーザーは速やかにアップデートを適用してほしい。

[後藤大地，有限会社オングス]

　Appleは2023年9月7日（現地時間）、複数製品に脆弱（ぜいじゃく）性が存在するとしてセキュリティアップデートの配信を開始した。

Appleは複数製品に脆弱性が存在するとしてセキュリティアップデートを配信した（出典：AppleのWebサイト）

脆弱性の悪用を既に確認　直ちにアップデートの適用を

　脆弱性の影響を受ける製品とモデルは以下の通りだ。

• iPhone 8およびこれ以降のモデル
• iPad Pro（全てのモデル）
• iPad Air 第3世代およびこれ以降のモデル
• iPad 第5世代およびこれ以降のモデル
• iPad mini 第5世代およびこれ以降のモデル
• macOS Ventura
• Apple Watch Series 4およびこれ以降のモデル

　今回のアップデートで修正対象となっている脆弱性は以下の通りだ。

• CVE-2023-41064：ImageIOにおけるバッファオーバーフローの脆弱性。細工した画像を処理させることで任意のコードを実行させることが可能になる。Appleはこの脆弱性が広く悪用されていることを認識しており注意喚起している。同脆弱性はトロント大学マンクスクールのCitizen Labによって指摘されている
• CVE-2023-41061：Walletにおける不完全な検証による脆弱性。細工した添付ファイルを使うことで任意のコードを実行させることが可能になる。Appleはこの脆弱性が広く悪用されていることを認識しており注意喚起している

　脆弱性が修正されたOSおよびバージョンは以下の通りだ。

• iOS 16.6.1
• iPadOS 16.6.1
• macOS Ventura 13.5.2
• watchOS 9.6.2

　Appleはセキュリティリリースにおいて共通脆弱性評価システム（CVSS）スコア値を示すことがないため深刻度を知ることは難しいが、説明されている内容から「CVE-2023-41064」および「CVE-2023-41061」は比較的深刻度が重大であると推測される。該当製品を使用している場合、迅速にアップデートを適用してほしい。