Apple は、実際に悪用された可能性のあるセキュリティホールを修正するために、モバイルおよびデスクトップ オペレーティング システムのアップデートをリリースしました。
木曜日、iPhone大手はソフトウェアの脆弱性に対処するため、macOS Monterey 12.3.1、iOS 15.4.1およびiPadOS 15.4.1、tvOS 15.4.1、watchOS 8.5.1をリリースした。
Montereyリリースは、匿名の研究者によって報告された、ドライバレベルのAppleAVDオーディオ/ビデオデコーダーにおける境界外書き込みの脆弱性CVE-2022-22675を修正します。この脆弱性は、アプリケーションによってカーネルレベルでコードを実行するために悪用される可能性があり、不正なアプリやユーザーが強力な権限を取得し、マシンを完全に制御できる可能性があります。
Appleは「この問題が積極的に悪用された可能性があるという報告を認識している」と述べた。このバグは、メモリ境界チェックの改良を適用することで修正された。
Rustの平和:CおよびC++コードのメモリバグがセキュリティ問題を引き起こすため、Microsoftは再び代替案を検討している
続きを読む
Montereyアップデートでは、CVE-2022-22674も修正されています。これは、OSのIntelグラフィックドライバーに存在する、匿名の研究者によって再び報告された境界外読み取りの脆弱性です。この脆弱性を悪用されると、不正なアプリやユーザーがアクセスできないはずのカーネルメモリにアクセスし、そこに隠されたキーや認証情報などの機密情報を盗む可能性があります。
Appleは、この脆弱性が積極的に悪用されているという報告を認識していると述べています。このバグは、ユーザー入力の検証を強化することで修正されました。
iOSとiPadOSのリリースは、同じAppleAVDの脆弱性に対処しており、悪意のあるスマートフォンやタブレットアプリがこの脆弱性を悪用してデバイスを乗っ取る可能性があります。奇妙なことに、tvOSとwatchOSのセキュリティリリースにはアドバイザリが提供されていません。これは、Appleによると、各アップデートに「公開されたCVEエントリがない」ためです。
自動インストールされていない場合は、できるだけ早くこれらのアップデートを適用してください。macOSの脆弱性は、少なくともMontereyを実行しているMacに存在します。iOSアップデートは、iPhone 6s以降、iPad Pro全モデル、iPad Air 2以降、iPad(第5世代以降)、iPad mini 4以降、iPod touch(第7世代)で利用可能です。
今年に入ってから、Apple は 1 月と 2 月に、自社製品に存在する多数の悪用されたバグを修正しました。®
