米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月22日(米国時間)、「CISA Adds Three Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に、Apple製品の脆弱性を複数追加したとして、注意を喚起した。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2023-32409 Apple Webkit - 複数の製品
- CVE-2023-28204 Apple Webkit - 複数の製品
- CVE-2023-32373 Apple Webkit - 複数の製品
脆弱性の主な内容は次のとおり。
CVE番号 | 脆弱性内容 |
---|---|
CVE-2023-32409 | Apple iOS、iPadOS、macOS、tvOS、watchOS、Safari WebKitにおけるWebコンテナサンドボックスが回避できるセキュリティ脆弱性。 |
CVE-2023-28204 | Apple iOS、iPadOS、macOS、tvOS、watchOS、Safari WebKitにおける機密情報漏洩のセキュリティ脆弱性。 |
CVE-2023-32373 | Apple iOS、iPadOS、macOS、tvOS、watchOS、Safari WebKitにおけるコード実行のセキュリティ脆弱性。 |
脆弱性の対象となっている製品は次のとおり。
- iPhone 6sおよびこれ以降のバージョン
- iPhone SE 第1世代
- iPad Pro すべてのモデル
- iPad Air 第2世代およびこれ以降のバージョン
- iPad 第5世代およびこれ以降のバージョン
- iPad mini 第4世代およびこれ以降のバージョン
- iPod touch 第7世代
- Apple Watch Series 4およびこれ以降のバージョン
- macOS Ventura
- macOS Big Sur
- macOS Monterey
- Apple TV 4K すべてのモデル
- Apple TV HD
これら脆弱性はすでに悪用が確認されている点に注意が必要。該当する製品を使っている場合にはベンダの提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。