2023年9月7日(現地時間)、AppleからmacOS、iOS、iPadOS、watchOSに関するセキュリティアップデートが公開され、iOS/iPadOS 16.6.1、macOS Ventura 13.5.2、watchOS 9.6.2向けのアップデートに関する情報が公開されました。詳細や最新の状況はAppleの情報を参照いただき、影響範囲の確認と対策をご検討ください。
今回修正されたWalletにおける脆弱性(CVE-2023-41061)およびImageIOにおける脆弱性(CVE-2023-41064)について、Appleは脆弱性を悪用する攻撃に関する報告をすでに確認しているとして注意を呼びかけています。また、脆弱性を発見し報告したCitizen Labは、脆弱性を悪用する攻撃に関する記事を同日公開し、一連の脆弱性悪用手法をBLASTPASSと命名し、詳細な情報を今後公開予定であると明らかにしています。早期のアップデートの適用を推奨します。
** 更新: 2023年9月12日 ********************************************
2023年9月11日(現地時間)、Appleからセキュリティアップデートが公開され、iOS/iPadOS 15.7.9、macOS Monterey 12.6.9、macOS Big Sur 11.7.10向けのアップデートに関する情報が公開されました。ImageIOにおける脆弱性(CVE-2023-41064)が修正されており、Appleは脆弱性を悪用する攻撃に関する報告をすでに確認しているとして注意を呼びかけています。早期のアップデートの適用を推奨します。
Apple
About the security content of iOS 15.7.9 and iPadOS 15.7.9
https://support.apple.com/ja-jp/HT213913
About the security content of macOS Monterey 12.6.9
https://support.apple.com/ja-jp/HT213914
About the security content of macOS Big Sur 11.7.10
https://support.apple.com/ja-jp/HT213915
** 更新終了 ******************************************************
Apple
About the security content of iOS 16.6.1 and iPadOS 16.6.1
https://support.apple.com/ja-jp/HT213905
About the security content of macOS Ventura 13.5.2
https://support.apple.com/ja-jp/HT213906
About the security content of watchOS 9.6.2
https://support.apple.com/ja-jp/HT213907
Citizen Lab
BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2023-09-08 初版
2023-09-12 セキュリティアップデートについての情報を追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
