Apple は、実際に悪用されている 2 つのゼロデイ欠陥に対処するために、iOS、iPadOS、macOS、visionOS、および Safari Web ブラウザのセキュリティ アップデートをリリースしました。
欠陥は以下にリストされています –
- CVE-2024-44308 – JavaScriptCore の脆弱性により、悪意のある Web コンテンツの処理時に任意のコードが実行される可能性があります。
- CVE-2024-44309 – WebKit の Cookie 管理の脆弱性により、悪意のある Web コンテンツの処理時にクロスサイト スクリプティング (XSS) 攻撃が発生する可能性があります。
iPhone メーカーは、チェックを改善し、状態管理を改善することで、それぞれ CVE-2024-44308 と CVE-2024-44309 に対処したと述べました。
悪用の正確な性質についてはあまり知られていないが、Apple はこの 2 つの脆弱性が「Intel ベースの Mac システムで積極的に悪用された可能性がある」ことを認めている。
Google の脅威分析グループ (TAG) の Clément Lecigne 氏と Benoit Sevens 氏は、この 2 つの欠陥を発見して報告したとされており、これらの欠陥は標的を絞った政府支援または傭兵によるスパイウェア攻撃の一部として利用された可能性が高いことを示しています。
アップデートは次のデバイスとオペレーティング システムで利用できます。
- iOS 18.1.1 および iPadOS 18.1.1 – iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ 第3世代以降、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代そしてその後
- iOS 17.7.2 および iPadOS 17.7.2 – iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ 第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 第 5 世代以降
- macOS セコイア 15.1.1 – macOS Sequoia を実行している Mac
- ビジョンOS 2.1.1 – アップルビジョンプロ
- サファリ18.1.1 – macOS Ventura および macOS Sonoma を実行している Mac
Apple は今年、これまでのところ、ソフトウェアで合計 4 つのゼロデイに対処しています。そのうちの 1 つは (CVE-2024-27834)Pwn2Ownバンクーバーのハッキングコンテストでデモンストレーションされました。残りの 3 つはパッチで修正されました 1月 そして 2024年3月。
ユーザーは、潜在的な脅威から身を守るために、できるだけ早くデバイスを最新バージョンに更新することをお勧めします。
Share this content:
