米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月13日(現地時間)、「Apple Releases Security Updates to Address CVE-2021-30858 and CVE-2021-30860|CISA」において、Appleが2件のゼロデイ脆弱性に対応するためのセキュリティアップデートをリリースしたと伝えた。

macOSやiOS/iPadOS、watchOS、およびSafariが対象。これらの脆弱性を悪用されると、攻撃者によって対象のシステムで任意のコードを実行される危険性がある。対象製品のアップデートに関する情報は、それぞれ次のサポートページにまとめられている。

  • About the security content of macOS Big Sur 11.6

    About the security content of macOS Big Sur 11.6

今回のアップデートで修正された脆弱性は以下の2件。

  • CVE-2021-30860: PDFにおける入力検証時の整数オーバーフローが原因で、悪意を持って作成されたPDF を処理する際に任意のコードが実行される可能性がある
  • CVE-2021-30858: WebKitにおける解放後のメモリ使用(Use After Free)の脆弱性で、悪意を持って作成されたウェブコンテンツを処理する際に任意のコードが実行される可能性がある

CVE-2021-30860はmacOS Big Sur、macOS Catalina、iOS/iPadOS、watchOSがぞれぞれ影響を受ける。CVE-2021-30858は、macOS Big Sur、iOS/iPadOS、およびmacOS CatalinaとmacOS MojaveのSafriがそれぞれ影響を受ける。Appleによれば、いずれの脆弱性もすでに悪用された可能性があるという報告を受けているという。