アップル、新たなゼロデイ3件に緊急パッチ:CVE-2023-41993ほか | Codebook|Security News
Codebook|Security News > Articles > Threat Report > アップル、新たなゼロデイ3件に緊急パッチ:CVE-2023-41993ほか

Threat Report

Silobreaker-CyberAlert

アップル、新たなゼロデイ3件に緊急パッチ:CVE-2023-41993ほか

佐々山 Tacos

佐々山 Tacos

2023.09.22

アップル、新たなゼロデイ3件に緊急パッチ:CVE-2023-41991、CVE-2023-41992、CVE-2023-41993

アップルは21日、iPhoneやMacなどの製品に影響を与える新たなゼロデイ脆弱性3件に対処するための緊急セキュリティアップデートをリリース。いずれの脆弱性も、iOS(16.7より前のバージョン)を狙った攻撃で悪用されている可能性があるという。これにより、今年に入って修正されたアップル製品のゼロデイの件数は合計16件となった。

 

今回修正されたのは以下の3件。

CVE-2023-41991(セキュリティフレームワークの脆弱性)

1つ目のゼロデイはセキュリティフレームワークにおける脆弱性で、悪意あるアプリによる署名検証のバイパスを可能にする恐れがあるもの。

CVE-2023-41992(カーネルの脆弱性)

2つ目はカーネルにおける脆弱性で、ローカルの攻撃者による特権昇格を可能にする恐れがあるもの。

CVE-2023-41993(WebKitの脆弱性)

3つ目は、WebKitにおける脆弱性。悪用に成功した攻撃者は、Webコンテンツを細工することで任意コードを実行できるようになる可能性がある。

修正済バージョン

修正済みのバージョンは以下。各詳細ページへは、アップルのセキュリティリリースページからアクセス可能。

 

・iOS 16.7、iPadOS 16.7(今後CVEエントリが追加予定)

・iOS 17.0.1、iPadOS 17.0.1

・macOS Ventura 13.6(今後CVEエントリが追加予定)

・macOS Monterey 12.7(今後CVEエントリが追加予定)

・watchOS 10.0.1

・watchOS 9.6.3

・Safari 16.6.1

脆弱性の報告者は、スパイウェア調査で知られるCitizen Labの研究者

アップルはこれらの脆弱性3件について、「悪用されている可能性があるとの報告を認識している」と述べてはいるものの、攻撃の詳細は明かされていない。しかし上記3件は、いずれもCitizen Labの研究者Bill Marczak氏とGoogle Threat Analysis Group(TAG)のMaddie Stone氏によって発見・報告されている。Citizen LabとGoogle TAGといえば、スパイウェアを展開するための攻撃で悪用されたゼロデイ脆弱性を頻繁に開示してきたことで知られるため、今回の3件も何らかのスパイウェア攻撃で悪用されていた可能性は捨てきれない。

 

[Update] その後、Citizen LabとGoogleの脅威分析チーム(TAG)により、上記3件の脆弱性はスパイウェア「Predator」を展開するための攻撃で悪用されていたことが明かされている。詳しくはこちら:最近修正されたアップルとChromeのゼロデイ、スパイウェア攻撃で悪用されていた

 

なおアップルは今月初めにもゼロデイ2件(CVE-2023-41064、CVE-2023-41061)を緊急セキュリティ対応によって修正したが、両脆弱性はスパイウェアPegasusを展開するためのエクスプロイトチェーンで悪用されていたとされる。

関連記事:在外ロシアメディアのジャーナリストがスパイウェアPegasusの標的に

 

(情報源:BleepingComputer “Apple emergency updates fix 3 new zero-days exploited in attacks“)

9月22日:その他の注目ニュース

サイバー保険請求件数が2023年上半期に大幅増 背景にランサムウェア攻撃の急増

The Record – September 22nd, 2023

今年上半期にサイバー保険の請求件数が大幅に急増し、攻撃による損害額も増加したことを、米国のサイバー保険会社Coalitionが明らかにした。同社によれば、保険請求の頻度は昨年度に比べて12%増加しており、その最大の要因はランサムウェア攻撃なのだという。保険請求を伴うサイバーインシデントの5件に1件ほどがランサムウェア関連であり、種別で言うと特にRoyal、BlackCat、LockBit 3.0による攻撃が特に多かったとされる。また、ランサムウェア被害者の報告した損害額の平均は365,000ドル超で、これも同様に前年度下半期の227,000ドル超から大幅に増えている。さらに、要求される身代金額も昨年より74%以上増え、平均162万ドルとなった。なお、身代金要求に遭ったCoalitionの顧客のうち、支払いに応じたのは36%で、攻撃者との交渉により支払額は元の要求額より平均44%引き下げられていたという。サイバー攻撃の発生頻度が増えてそのコストも増大する中、サイバー保険業界は劇的に成長しており、保険会社Howdenによれば、サイバー保険市場は2030年までに500億ドル規模にまで成長することが予想されるとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ