アップル、スパイキャンペーンで悪用されたゼロデイを修正:CVE-2023-38606
アップルが、iOS、iPadOS、macOS、tvOS、watchOS、Safariのセキュリティアップデートをリリースし、複数の脆弱性に対処。これには、サイバースパイキャンペーン「Operation Triangulation」で悪用されていた可能性のあるゼロデイ脆弱性CVE-2023-38606が含まれている。なお、Operation Triangulationは、iOS端末を狙ってスパイウェアTriangulationを展開するキャンペーンで、6月1日にロシアのセキュリティ企業カスペルスキーによって報告されていた。
また、今回のアップデートには、今月初めに「緊急セキュリティ対応(RSR)」アップデートによって修正されていたゼロデイCVE-2023-37450に対するパッチも含まれている。
カーネルのゼロデイ脆弱性:CVE-2023-38606
今回修正されたものの1つであるCVE-2023-38606はカーネルにおける脆弱性で、攻撃者がこれを悪用すれば、センシティブなカーネル状態の変更が可能になる恐れがある。これは、Operation Triangulationに関連して発見された脆弱性としてはCVE-2023-32434、CVE-2023-32435に続いて3件目。このスパイウェアキャンペーンは2019年に始まったとされ、カスペルスキー社従業員のiPhone数十台が影響を受けたことが報告されている。なお、CVE-2023-32434、CVE-2023-32435に関しては先月のセキュリティアップデートで既に修正済み。
関連記事:アップル、スパイウェアTriangulationの展開に使われたゼロデイを修正:CVE-2023-32434、CVE-2023-32435
WebKitのゼロデイ脆弱性:CVE-2023-37450
CVE-2023-37450は、攻撃者による任意コードの実行を可能にする恐れがある脆弱性。7月10日にリリースされたiOS 16.5.1、iPadOS 16.5.1、macOS Ventura 13.4.1の利用者向けの「緊急セキュリティ対応(RSR)」アップデートで修正されていたが、今回のアップデートで改めて修正されている。
アップデートが利用可能なデバイス/OS
今回のアップデートに対応しているデバイスとOSは以下の通り。
・iOS 16.6、iPadOS 16.6:iPhone 8以降のモデル、iPad Proの全モデル、第3世代以降のiPad Air、第5世代以降のiPad、第5世代以降のiPad mini
・iOS 15.7.8、iPadOS 15.7.8:iPhone 6s(全モデル)、iPhone 7(全モデル)、iPhone SE(第1世代)、iPad Air 2、iPad mini(第4世代)、iPod touch(第5世代)
・macOS Ventura 13.5、macOS Monterey 12.6.8、macOS Big Sur 11.7.9
・tvOS 16.6:Apple TV 4K(全モデル)、Apple TV HD
・watchOS 9.6:Apple Watch(シリーズ4以降)
(情報源:The Hacker News “Apple Rolls Out Urgent Patches for Zero-Day Flaws Impacting iPhones, iPads and Macs”、Bleeping Computer “Apple fixes new zero-day used in attacks against iPhones, Macs”)