Appleは顧客に対し、同社デバイスで悪用が確認されている2件の脆弱性を修正する緊急セキュリティアップデートを適用するよう呼びかけた。
修正は、iOS 18.1.1およびiPadOS 18.1.1、Safari 18.1.1、visionOS 2.1.1、macOS Sequoia 15.1.1の各アップデートに含まれており、iPhone、iPad、macOS、Apple Vision Proなど、幅広いAppleデバイスで利用可能だ。
これらは2件の脆弱性(CVE-2024-44308およびCVE-2024-44309)に対処するもので、AppleによればIntelベースのMacシステムで積極的に悪用されている可能性があるという。この活動に関与している可能性のある脅威アクターについての詳細は明らかにされていない。
両脆弱性はNational Vulnerability Database(NVD)に登録されているが、まだ分析されておらずスコアも付与されていない。
さらに、旧型デバイスの顧客向けに、欠陥に対処するiOS 17.7.2およびiPadOS 17.7.2もリリースされた。
これらの脆弱性は、GoogleのThreat Analysis GroupのClément Lecigne氏とBenoît Sevens氏によって発見された。
セキュリティアップデートについて、Jamfの戦略担当VPであるMichael Covington氏は、リスクのあるあらゆるデバイスを更新することを推奨した。
「Appleが提供した修正は、悪意ある活動を検知して防止するためのより強力なチェックを導入するとともに、Web閲覧中にデバイスがデータを管理・追跡する方法を改善します。攻撃者が両方の脆弱性を悪用している可能性があるため、ユーザーおよびモバイルファーストの組織は、可能な限り早く最新のパッチを適用することが極めて重要です」と同氏は述べた。
今すぐ読む:Apple、macOSとiOSの脆弱性を修正する大規模セキュリティアップデートを展開
JavaScriptCoreの脆弱性
CVE-2024-44308はJavaScriptCoreの脆弱性で、アプリやWebブラウザでJavaScriptコードを実行するためのフレームワークだ。
Appleは、JavaScriptCoreにおいて攻撃者が悪意をもって細工したWebコンテンツにより、任意のコード実行やデバイスの侵害につながる可能性があると説明した。
Appleは、この問題はアップデートで「改善されたチェック」により対処されたとしている。
WebKitの脆弱性
CVE-2024-44309はWebKitで見つかった欠陥で、Safariを支えるとともに、ユーザーに他のWebベースのコンテンツを提示するフレームワークだ。
この脆弱性により、悪意をもって細工されたWebコンテンツによるクロスサイトスクリプティング攻撃が可能になる。
Appleはこの欠陥を「Cookie管理の問題」と説明し、状態管理の改善によって対処したとしている。
画像クレジット:Tada Images / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/apple-security-update/
