Appleは米国時間9月23日、セキュリティアップデートをリリースし、「macOS Catalina」と「iOS 12.5.5」で悪用された可能性がある脆弱性を修正した。
「CVE-2021-30869」はXNUに関する脆弱性で、不正なアプリケーションが任意のコードをカーネル権限で実行できる可能性がある。アップデートの対象は、macOS Catalinaおよび「iPhone 5s」「iPhone 6」「iPhone 6 Plus」「iPad Air」「iPad mini(第2~3世代)」「iPod touch(第6世代)」。
同社によると、この脆弱性が悪用されたという報告があり、「ステート処理を強化」することで対処したという。この脆弱性は、Googleの脅威分析グループ(TAG:Threat Analysis Group)が発見した。
「CVE-2021-30860」は、Appleのデバイスに侵入するのに使われたNSO Groupのスパイウェア「Pegasus」と関連している可能性がある。Citizen Labが発見した。アップデートの対象はiPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini(第2~3世代)、およびiPod touch(第6世代)。
2021年に入ってCitizen Labが公表した複数の報告書で、特定の国家や犯罪者がPegasusスパイウェアを使って、Appleのデバイスにアクセスしていたことが明らかになり、大きな反響を集めた。同社の最新の報告書によると、悪意を持って作成されたPDFを処理すると、任意のコードが実行される可能性があるという。
Appleは、「この脆弱性が積極的に悪用された可能性があるという報告を認識」しており「入力の検証を強化」して対処したという。
「CVE-2021-30858」は、悪意をもって作成されたウェブコンテンツが、任意のコードを実行する可能性があるというもので、匿名の研究者が発見した。アップデートの対象はCVE-2021-30860と同じだ。同社はこの脆弱性についても、「積極的に悪用された可能性があるという報告を認識」しているという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。