アップル、新たなゼロデイの緊急パッチをリリースもその後撤回か:CVE-2023-37450
(アップデート:以下の記事は、7月11日時点での情報を記載したものです。その後7月12日より、ブラウジングの問題を修正したバージョンのパッチが改めてリリースされています)
アップルは7月10日、攻撃で悪用されている可能性があるとされる新たなゼロデイ脆弱性(CVE-2023-37450)に対処するため、iOS 16.5.1、iPadOS 16.5.1、macOS Ventura 13.4.1の利用者向けの「緊急セキュリティ対応(RSR)」アップデートをリリースしたが、その後この修正プログラムを撤回したという。
CVE-2023-37450:すでに悪用されている可能性のある、WebKitのゼロデイ脆弱性
今回のRSRで対処されたCVE-2023-37450はWebKitにおける脆弱性で、ハッカーによる任意コードの実行を可能にする恐れがあるもの。すでに実際の攻撃で悪用されている可能性があるとの報告が上がっていた。
アップルはその後、FacebookやZoomなど一部サイトでの不具合を理由に緊急パッチを撤回か
アップル関連の情報などを紹介するサイト「MacRumors」によれば、CVE-2023-37450向けのRSRアップデート(緊急パッチ)はその後、アップルによって撤回されたという。その理由はおそらく、RSRアップデートのインストールにより、特定のWebサイトでエラーが生じてしまうことだとみられる。
MacRumorsのフォーラムに投稿したユーザーたちによれば、緊急パッチ適用後にFacebook、Instagram、WhatsApp、ZoomといったWebサイトを開こうとしたところ、サイト側から「Safariブラウザ上でサポートされていない」という旨を伝える警告文が表示され始めたという。
今回リリースされた緊急パッチはSafariのユーザーエージェントに「(a)」を追加する仕様になっているとみられ、これが上記のような一部Webサイトでの不具合に繋がったものと思われる。
アップルは不具合を修正次第、再度RSRをリリースか
MacRumorsは、緊急パッチの不具合が修正され次第、アップルはおそらく再度RSRをリリースするだろうとみている。なお、すでにRSRをインストールしてしまった利用者は、以下の手順でバージョンをダウングレードすることが可能。
・iOS:設定 > 一般 > 情報 > 「iOSバージョン」をタップ
・Mac:画面左上のアップルロゴをクリック > システム設定 > 一般 > 情報 > 「macOS」セクションの丸で囲まれた「i」をクリック > 「緊急セキュリティ対応を削除」を選択
(情報源:The Hacker News “Apple Issues Urgent Patch for Zero-Day Flaw Targeting iOS, iPadOS, macOS, and Safari”、MacRumors ”Apple Pulls iOS 16.5.1 and macOS 13.4.1 Rapid Security Response Updates Due to Safari Bug”)
7月11日:その他の注目ニュース
世界的ネオバンクRevolutでハッキング被害、2,000万ドルが盗まれる
世界的なネオバンク/金融テクノロジー企業であるRevoultが2022年にシステムの脆弱性を突いたサイバー攻撃被害に遭い、2,000万ドル以上もの企業資金を盗まれていたことが『フィナンシャル・タイムズ』の報道により発覚。この報道によれば、米国におけるRevolutの決済システムには、米国とヨーロッパのシステム間の不一致に起因する脆弱性が存在していたという。この脆弱性により、取引が拒否された際に、取り消しとなった額の払い戻しがRevolut自身の資金を使って行われるようになっていた。そして、ある犯罪グループがこの脆弱性につけ込み、人々に取引が拒絶されることが分かっている高額の買い物をわざと行わせて払い戻し金を入手させていたのだという。なお、この脆弱性に関する技術的詳細はまだ開示されておらず、Revoult自身はまだこの侵害について公式な声明を出していない。