Apple、iOSで悪用されるゼロデイ脆弱性を修正

Hacker Newsによると、CVE-2023-42824として追跡されている修正済みのバグは、ローカル攻撃者が権限を昇格できる可能性のあるカーネルの脆弱性です。Appleは、iOS 16.6より前のバージョンでこの問題の報告を受けており、チェック機能を改善することでこの問題に対処したと述べています。

いつものように、攻撃の性質や攻撃者の身元に関する詳細は公表されていません。Appleの新しいアップデートは、WebRTCコンポーネントに影響を与えるCVE-2023-5217のバグにも対処しています。このバグは、Googleが以前libvpxライブラリのバッファオーバーフローと説明していました。

Appleは、iOS 17.0.3およびiPadOS 17.0.3のパッチで、新しくリリースされたiPhone 15シリーズの異常な過熱問題だけでなく、今年初めから影響を受けるデバイスで積極的に悪用されてきた合計17件のゼロデイ脆弱性も修正しています。

2週間前、クパティーノに拠点を置く巨大企業はiOSおよびiPadOS 17.0.2をリリースしました。このアップデートでは、セキュリティ専門家が積極的に悪用されていると確認している3つのセキュリティ脆弱性（CVE-2023-41991、CVE-2023-41992、CVE-2023-41993）が修正されています。これらのゼロデイ脆弱性は、イスラエルのスパイウェア企業Cytroxが今年初めにエジプトの元国会議員のiPhoneにPredatorマルウェアを拡散させる際に利用されました。

標的となるリスクのあるユーザーは、AppleがiOS 16に搭載したロックダウンモードを使用することで、スパイウェアに悪用されるリスクを軽減できます。