アップル、スパイキャンペーンで悪用されたゼロデイを修正:CVE-2023-38606 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > アップル、スパイキャンペーンで悪用されたゼロデイを修正:CVE-2023-38606

Threat Report

Silobreaker-CyberAlert

アップル、スパイキャンペーンで悪用されたゼロデイを修正:CVE-2023-38606

佐々山 Tacos

佐々山 Tacos

2023.07.25

アップル、スパイキャンペーンで悪用されたゼロデイを修正:CVE-2023-38606

アップルが、iOS、iPadOS、macOS、tvOS、watchOS、Safariのセキュリティアップデートをリリースし、複数の脆弱性に対処。これには、サイバースパイキャンペーン「Operation Triangulation」で悪用されていた可能性のあるゼロデイ脆弱性CVE-2023-38606が含まれている。なお、Operation Triangulationは、iOS端末を狙ってスパイウェアTriangulationを展開するキャンペーンで、6月1日にロシアのセキュリティ企業カスペルスキーによって報告されていた。

また、今回のアップデートには、今月初めに「緊急セキュリティ対応(RSR)」アップデートによって修正されていたゼロデイCVE-2023-37450に対するパッチも含まれている。

カーネルのゼロデイ脆弱性:CVE-2023-38606

今回修正されたものの1つであるCVE-2023-38606はカーネルにおける脆弱性で、攻撃者がこれを悪用すれば、センシティブなカーネル状態の変更が可能になる恐れがある。これは、Operation Triangulationに関連して発見された脆弱性としてはCVE-2023-32434、CVE-2023-32435に続いて3件目。このスパイウェアキャンペーンは2019年に始まったとされ、カスペルスキー社従業員のiPhone数十台が影響を受けたことが報告されている。なお、CVE-2023-32434、CVE-2023-32435に関しては先月のセキュリティアップデートで既に修正済み。

関連記事:アップル、スパイウェアTriangulationの展開に使われたゼロデイを修正:CVE-2023-32434、CVE-2023-32435

WebKitのゼロデイ脆弱性:CVE-2023-37450

CVE-2023-37450は、攻撃者による任意コードの実行を可能にする恐れがある脆弱性。7月10日にリリースされたiOS 16.5.1、iPadOS 16.5.1、macOS Ventura 13.4.1の利用者向けの「緊急セキュリティ対応(RSR)」アップデートで修正されていたが、今回のアップデートで改めて修正されている。

関連記事:アップル、新たなゼロデイの緊急パッチをリリースもその後一時的に撤回か:CVE-2023-37450

アップデートが利用可能なデバイス/OS

今回のアップデートに対応しているデバイスとOSは以下の通り。

 

・iOS 16.6、iPadOS 16.6:iPhone 8以降のモデル、iPad Proの全モデル、第3世代以降のiPad Air、第5世代以降のiPad、第5世代以降のiPad mini

・iOS 15.7.8、iPadOS 15.7.8:iPhone 6s(全モデル)、iPhone 7(全モデル)、iPhone SE(第1世代)、iPad Air 2、iPad mini(第4世代)、iPod touch(第5世代)

・macOS Ventura 13.5、macOS Monterey 12.6.8、macOS Big Sur 11.7.9

・tvOS 16.6:Apple TV 4K(全モデル)、Apple TV HD

・watchOS 9.6:Apple Watch(シリーズ4以降)

 

(情報源:The Hacker News “Apple Rolls Out Urgent Patches for Zero-Day Flaws Impacting iPhones, iPads and Macs”、Bleeping Computer “Apple fixes new zero-day used in attacks against iPhones, Macs”)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ