Appleが同社のOSのカーネルとWebKitの脆弱性を修正する緊急セキュリティアップデートをリリースした。「悪用されている可能性」を把握しており、バグを悪用したゼロディ攻撃のおそれもあることから、米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は「早急なアップデート」を呼びかけている。
同社は8月17日に「iOS 15.6.1」「iPadOS 15.6.1」「macOS 12.5.1」アップデートをリリースした。これらは領域外書き込みに関する2つの脆弱性を修正する。1つは、アプリケーションにカーネル権限を奪われて任意のコードを実行される可能性があるバグ(CVE-2022-32894)。もう1つは、悪意をもって作られたWebコンテンツの処理で任意のコードが実行される可能性があるWebKitの問題(CVE-2022-32893)。Appleの公表を受けて、SocialProof SecurityのCEOであるRachel Tobac氏は、これらの脆弱性が標的型の攻撃に用いられた場合、攻撃者にデバイスのフルアクセスを許す可能性を指摘している。
Appleは配列境界チェック機能を改善することで、2つの脆弱性に対処した。
iOS/iPadOSのアップデートの対象デバイスは、iPhone 6s以降、iPad Pro(すべてのモデル)、iPad Air 2 以降、iPad(第5世代以降)、iPad mini 4以降、iPod touch (第7世代)など。
macOS 12.5.1はmacOS Montereyのアップデートだが、Appleはさらに「Safari 15.6.1」アップデートを8月18日にリリースした。CVE-2022-32893の修正をmacOS Big SurとmacOS Catalinaに提供するアップデートであり、それによって現在サポートされている全てのmacOSでWebKitの脆弱性が修正された。
NSO Groupをはじめとするスパイウェアを開発する民間企業によって、標的型サイバー攻撃が急速に高度化している。Appleは、この秋に正式版をリリースする「iOS 16」「iPadOS 16」「macOS Ventura」に、「Rapid Security Response」という再起動なしでセキュリティパッチを自動的に適用する機能を導入する。また「ロックダウンモード」という標的型攻撃の手がかりとなる機能を無効化して攻撃を受ける可能性を抑えるセキュリティ・オプションを提供する。
