米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月11日(米国時間)、「CISA Adds Two Known Vulnerabilities to Catalog|CISA」において、脆弱性カタログにAppleが先日公開したセキュリティアップデートに関する脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されている。
-
CISA Adds Two Known Vulnerabilities to Catalog|CISA
影響を受ける主な製品やサービスは次のとおり。
- Apple iOS、iPadOS、macOS (CVE-2023-41064)
- Apple iOS、iPadOS、watchOS (CVE-2023-41061)
対象の脆弱性を悪用された場合、細工した画像や添付ファイルを使うことで対象となるデバイスにおいて任意のコードを実行可能とされている。簡単に悪用できる脆弱性であり、Appleもすでにこの脆弱性が広く悪用されていることを確認しており、先日のセキュリティアップデートで修正対象とされている(参考「iPhoneなどApple製品にスパイウェア展開するゼロデイ攻撃、すぐにアップデートを | TECH+(テックプラス)」)。
CISAのカタログは脆弱性の新旧に依存せず、アクティブに悪用されているものが期限付きで登録される仕組みになっている。今回、Appleから修正の配信が始まったばかりの脆弱性がカタログに追加されたことで、CISAもこの脆弱性が広く悪用されていることを認識したことになる。該当する製品を使用している場合は、すぐにアップデートを適用することが望まれる。
