Macos Brawte nfaq 0 Comments

AppleはmacOS Montereyの重大な欠陥を修正したが、Big SurとCatalinaには修正しなかった

Table of Contents

AppleはmacOS Montereyの重大な欠陥を修正したが、Big SurとCatalinaには修正しなかった

Appleは先週、macOS Montereyで悪用されている2つの脆弱性を修正したが、同社のデスクトップオペレーティングシステムの古いサポートバージョンのユーザーは保護されていないままとなっている。

セキュリティ企業のIntegoは火曜日のブログ投稿で、macOS MontereyのCVE-2022-22675(AppleAVDのバグ)およびCVE-2022-22674(Intelグラフィックスドライバのバグ)に対処するために適用された修正がmacOS Big SurやmacOS Catalinaにバックポートされていないと述べた。

Integoのチーフセキュリティアナリスト、ジョシュア・ロング氏によると、AppleAVDの問題はmacOS Big Surでは修正されていないが、Catalinaはオーディオとビデオのデコード用のAppleAVDコンポーネントがないため影響を受けないという。同氏によると、Intelグラフィックスドライバの脆弱性はBig SurとCatalinaの両方に影響を与えるようだ。

これは、macOS Montereyのリリース以来、AppleがBig SurとCatalinaの積極的に悪用されている脆弱性を修正しなかった初めてのことだ。

「macOS Montereyのリリース以来、AppleがBig SurとCatalinaで積極的に悪用されている脆弱性へのパッチ適用を怠ったのは今回が初めてです」とロング氏は述べた。「これまで3つの積極的に悪用されている脆弱性は、Monterey、Big Sur、Catalinaでそれぞれ同時にパッチ適用されていました。」

Apple は、これらの特定の問題に対するアップデートを行わずに古い macOS インストールを放置している理由を説明するよう求める要請には応じなかった。

AppleのmacOS Montereyは2021年10月25日にリリースされ、最新のmacOSリリースとなりました。macOS Big Surは2020年11月12日にリリースされ、最終アップデートは2022年3月14日に行われました。その前身であるmacOS Catalinaは2019年10月7日にリリースされ、同じく2022年3月14日に最終アップデートが行われました。

Windowsライフサイクルポリシーを公開しているMicrosoftとは異なり、Appleはハードウェアのサポート終了日を詳細に公表していますが、macOSのサポートポリシーについては書面によるコミットメントを示していません。近年、iBizはmacOSの現行リリースを1年間サポートするとともに、過去2つのmacOSリリースのアップデートとセキュリティパッチも公開しています。

macOS Catalina のサポートは 2022 年 11 月頃に終了すると予想されており、macOS Big Sur の廃止日はおおよそ 2023 年 11 月になると思われます。

ロング氏によれば、現在使用されている Mac の 35 ~ 40 パーセントが、これらのバグの 1 つまたは両方に対して脆弱であるという。

Apple、macOS、iOS、iPadOSの「悪用された」セキュリティバグに対するパッチを公開

続きを読む

ロング氏によると、セキュリティ研究者のミッキー・ジン氏は、macOS Big Surを実行しているM1ベースのMacがAppleAVDのバグ(CVE-2022-22675)に対して脆弱であることを確認したという。これは、Appleが1月にサポートを中止したiOS 14およびiPadOS 14を実行しているデバイスも同様である。

CVE-2022-22675 は境界外書き込みバグであり、カーネル権限で任意のコード実行が可能になる可能性があります。

Intel Graphics のバグ (CVE-2022-22674) に関しては、Intego は Big Sur と Catalina が影響を受けるかどうか確認中だが、カーネルメモリの読み取りを可能にする境界外読み取りの脆弱性が匿名の研究者によって報告されたため、確認が困難だと Long 氏は述べている。

しかし、同氏は「CVE-2022-22674はmacOS Big SurとmacOS Catalinaの両方に影響を与える可能性が高いと確信している」と述べた。これは、近年のIntelグラフィックス・ドライバー・コンポーネントのほぼすべての脆弱性が、macOSのすべてのバージョンに影響を与えているためだ。

ロング氏は、Big SurとCatalinaには積極的に悪用されていない脆弱性が他にも数十件あると付け加えた。

「Appleは、macOSの『サポート対象』バージョンを、実際に悪用されている攻撃から故意に保護しないまま放置してきたという、残念な歴史を持っています」と彼は述べた。「ベンダーがパッチをリリースしないことを選択するこのようなシナリオは、『永続的なゼロデイ』と呼ばれることもあります。」®

Macos

Smart Recommendations

Discover More