米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は6月23日(米国時間)、「CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に5個の脆弱性を追加したと伝えた。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2023-32434 Apple - 複数の製品
- CVE-2023-32435 Apple - iOSおよびmacOS
- CVE-2023-32439 Apple - 複数の製品
- CVE-2023-20867 VMware - Tools
- CVE-2023-27992 Zyxel - 複数のNASデバイス
-
About the security content of iOS 15.7.7 and iPadOS 15.7.7 - Apple Support
脆弱性の主な内容は次のとおり。
| CVE番号 | 脆弱性内容 |
|---|---|
| CVE-2023-32434 | Apple iOS、iPadOS、macOS、watchOSにおけるカーネル特権でのコード実行のセキュリティ脆弱性。 |
| CVE-2023-32435 | Apple iOS、iPadOS WebKitにおけるコード実行のセキュリティ脆弱性。 |
| CVE-2023-32439 | Apple iOS、iPadOS、macOS、Safari WebKitにおけるコード実行のセキュリティ脆弱性。 |
| CVE-2023-20867 | VMware Toolsにおける認証バイパスのセキュリティ脆弱性。 |
| CVE-2023-27992 | Multiple Zyxel NASデバイスにおけるコマンドインジェクションのセキュリティ脆弱性。 |
日本は世界的に見てもAppleやMacのユーザーが多いことから、Appleが配信を開始したiPhone、iPad、Mac、Apple Watch向けのセキュリティアップデートに注意が必要。CISAがカタログに追加したということは、対象の脆弱性がサイバー攻撃者に悪用されていることを意味している。該当する製品を使用する場合には迅速にアップデートを適用することが望まれる。
