ニュース
iPhoneなどに任意コード実行を可能とする脆弱性 直ちにアップデートを:セキュリティニュースアラート
Appleは複数製品の脆弱性を修正するセキュリティアップデートを公開した。ユーザーは速やかにアップデートを適用してほしい。
Appleは2023年9月7日(現地時間)、複数製品に脆弱(ぜいじゃく)性が存在するとしてセキュリティアップデートの配信を開始した。
脆弱性の悪用を既に確認 直ちにアップデートの適用を
脆弱性の影響を受ける製品とモデルは以下の通りだ。
- iPhone 8およびこれ以降のモデル
- iPad Pro(全てのモデル)
- iPad Air 第3世代およびこれ以降のモデル
- iPad 第5世代およびこれ以降のモデル
- iPad mini 第5世代およびこれ以降のモデル
- macOS Ventura
- Apple Watch Series 4およびこれ以降のモデル
今回のアップデートで修正対象となっている脆弱性は以下の通りだ。
- CVE-2023-41064:ImageIOにおけるバッファオーバーフローの脆弱性。細工した画像を処理させることで任意のコードを実行させることが可能になる。Appleはこの脆弱性が広く悪用されていることを認識しており注意喚起している。同脆弱性はトロント大学マンクスクールのCitizen Labによって指摘されている
- CVE-2023-41061:Walletにおける不完全な検証による脆弱性。細工した添付ファイルを使うことで任意のコードを実行させることが可能になる。Appleはこの脆弱性が広く悪用されていることを認識しており注意喚起している
脆弱性が修正されたOSおよびバージョンは以下の通りだ。
- iOS 16.6.1
- iPadOS 16.6.1
- macOS Ventura 13.5.2
- watchOS 9.6.2
Appleはセキュリティリリースにおいて共通脆弱性評価システム(CVSS)スコア値を示すことがないため深刻度を知ることは難しいが、説明されている内容から「CVE-2023-41064」および「CVE-2023-41061」は比較的深刻度が重大であると推測される。該当製品を使用している場合、迅速にアップデートを適用してほしい。
関連記事
- スマホ買い替えシーズン到来 筆者がオススメする「絶対あった方がいい機能」
新型iPhoneをはじめスマートフォンの新製品が発表される時期が間もなく訪れます。今回は筆者が、スマートフォンに必須だと思う機能を紹介します。買い替えを検討している方は参考にしてください。 - GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。 - iOS 16の「機内モード」に脆弱性 オフラインに見せかけつつ情報窃取も可能
iOS 16の機内モードに脆弱性があることがJamfによって報告された。これを悪用すると偽装した機内モードを表示させて攻撃者がデバイスへのアクセスを維持できる。 - 日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.