Apple、iOSで悪用されるゼロデイ脆弱性を修正

Hacker Newsによると、CVE-2023-42824として追跡されている修正済みのバグは、ローカル攻撃者が権限を昇格できる可能性のあるカーネルの脆弱性です。Appleは、iOS 16.6より前のバージョンでこの問題の報告を受けており、チェック機能を改善することでこの問題を解決したと述べています。

いつものように、攻撃の性質や攻撃者の身元に関する詳細は公表されていません。Appleの新しいアップデートは、WebRTCコンポーネントに影響を与えるバグCVE-2023-5217にも対処しています。このバグは、Googleが以前libvpxライブラリのバッファオーバーフローと説明していました。

iOS 17.0.3およびiPadOS 17.0.3のパッチにより、Appleは新しくリリースされたiPhone 15シリーズの異常な過熱問題だけでなく、今年初めから影響を受けるデバイスで積極的に悪用されてきた合計17件のゼロデイ脆弱性も修正しました。

クパチーノに拠点を置く巨大企業は2週間前、iOSおよびiPadOS 17.0.2をリリースしました。このアップデートでは、セキュリティ専門家が積極的に悪用されていると確認した3つのセキュリティ脆弱性（CVE-2023-41991、CVE-2023-41992、CVE-2023-41993）が修正されています。これらのゼロデイ脆弱性は、イスラエルのスパイウェア企業Cytroxが今年初めにエジプトの元国会議員のiPhoneにPredatorマルウェアを拡散させる際に利用されました。

標的となるリスクのあるユーザーは、AppleがiOS 16に搭載したロックダウンモードを使用することで、スパイウェアに悪用されるリスクを軽減できます。