Appleは、Corunaエクスプロイトキットとして知られる高度な脅威から、古いiPhoneおよびiPadのユーザーを保護するための緊急セキュリティアップデート、iOS 15.8.7およびiPadOS 15.8.7をリリースしました。
2026年3月11日にリリースされたこの重大なパッチは、iOS 16およびiOS 17を実行する新しいデバイス向けに以前に発行された複数の主要なセキュリティ修正を逆移植しています。
古いハードウェアは最新のオペレーティングシステムにアップグレードできないため、Appleは重大な欠陥をパッチするための生命線アップデートを時折提供します。
Corunaエクスプロイトキットの脅威
Corunaエクスプロイトキットは、既知のメモリ破損とUse-After-Free脆弱性の悪用に依存しています。
悪意のあるウェブコンテンツを使用してユーザーをターゲットにすることで、攻撃者はこれらの欠陥をトリガーしてセキュリティサンドボックスをバイパスできます。
サンドボックスを抜けると、エクスプロイトはデバイスのカーネルをターゲットにして権限を昇格し、攻撃者に侵害されたiPhoneまたはiPadに対する広範な制御を与えます。
これに対抗するため、Appleはios 15エコシステムに4つの重大な修正を逆移植しました。
- CVE-2023-41974(カーネル): Félix Poulin-Bélanger氏によって発見された、このUse-After-Free問題により、悪意のあるアプリケーションが最大カーネル権限で任意のコードを実行することができました。Appleはメモリ管理を改善することでこれに対処しました。この修正は2023年9月にiOS 17で元々デプロイされました。
- CVE-2024-23222(WebKit): 悪意のあるウェブコンテンツを処理すると、任意のコード実行につながる可能性がある重大なタイプ混同脆弱性。Appleはセキュリティチェックを改善してこの欠陥をパッチしました。これは2024年1月にiOS 17.3の新しいデバイス向けに最初に修正されました。
- CVE-2023-43000(WebKit): ユーザーが悪意のあるウェブページにアクセスしたときにメモリ破損を引き起こす可能性があるUse-After-Free脆弱性。Appleはメモリ管理の改善で脅威を軽減しました。このパッチは2023年7月にiOS 16.6で最初に配信されました。
- CVE-2023-43010(WebKit): 悪意のあるウェブコンテンツを処理することに関連する別のメモリ処理の問題であり、メモリ破損につながる可能性もあります。これはメモリ処理の改善で解決されたため、2023年12月にiOS 17.2で元々修正されました。
影響を受けるデバイス
この緊急アップデートは、メインラインiOSアップデートの対象外となっている古いAppleハードウェア向けに特に設計されています。影響を受けるデバイスは以下を含みます:
- iPhone 6s(すべてのモデル)
- iPhone 7(すべてのモデル)
- iPhone SE(第1世代)
- iPad Air 2
- iPad mini(第4世代)
- iPod touch(第7世代)
これらの古いデバイスを使用しているユーザーは、オペレーティングシステムを直ちにアップデートするよう強く求められています。
Corunaエクスプロイトキットによって悪用される脆弱性は数ヶ月前、場合によっては数年前に新しいデバイス上で公開およびパッチされているため、脅威アクターは基礎となるコードを理解し、信頼性の高い攻撃チェーンを開発するのに十分な時間がありました。
パッチをインストールするには、ユーザーは設定に移動し、一般をタップして、ソフトウェアアップデートを選択してiOS 15.8.7またはiPadOS 15.8.7をダウンロードして適用する必要があります。
翻訳元: https://gbhackers.com/apple-releases-emergency-ios-15-8-7-update/
