アップル、「macOS Catalina」「iOS 12.5.5」で脆弱性を修正--既に悪用の可能性

Jonathan Greig (Special to ZDNET.com) 翻訳校正: 編集部2021年09月24日 09時25分

 Appleは米国時間9月23日、セキュリティアップデートをリリースし、「macOS Catalina」と「iOS 12.5.5」で悪用された可能性がある脆弱性を修正した。

 「CVE-2021-30869」はXNUに関する脆弱性で、不正なアプリケーションが任意のコードをカーネル権限で実行できる可能性がある。アップデートの対象は、macOS Catalinaおよび「iPhone 5s」「iPhone 6」「iPhone 6 Plus」「iPad Air」「iPad mini(第2~3世代)」「iPod touch(第6世代)」。

 同社によると、この脆弱性が悪用されたという報告があり、「ステート処理を強化」することで対処したという。この脆弱性は、Googleの脅威分析グループ(TAG:Threat Analysis Group)が発見した

 「CVE-2021-30860」は、Appleのデバイスに侵入するのに使われたNSO Groupのスパイウェア「Pegasus」と関連している可能性がある。Citizen Labが発見した。アップデートの対象はiPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini(第2~3世代)、およびiPod touch(第6世代)。

 2021年に入ってCitizen Labが公表した複数の報告書で、特定の国家や犯罪者がPegasusスパイウェアを使って、Appleのデバイスにアクセスしていたことが明らかになり、大きな反響を集めた。同社の最新の報告書によると、悪意を持って作成されたPDFを処理すると、任意のコードが実行される可能性があるという。

 Appleは、「この脆弱性が積極的に悪用された可能性があるという報告を認識」しており「入力の検証を強化」して対処したという。

 「CVE-2021-30858」は、悪意をもって作成されたウェブコンテンツが、任意のコードを実行する可能性があるというもので、匿名の研究者が発見した。アップデートの対象はCVE-2021-30860と同じだ。同社はこの脆弱性についても、「積極的に悪用された可能性があるという報告を認識」しているという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]