Last Updated on 2025-06-24 17:49 by まお
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、iOS、iPadOS、macOS、tvOS、およびwatchOSに影響を与える高重大度の脆弱性(CVE-2022-48618、CVSSスコア:7.8)が積極的に悪用されていると警告しました。この脆弱性はカーネルコンポーネントのバグに関連しており、任意の読み書き機能を持つ攻撃者がポインタ認証を回避できる可能性があるとされています。Appleは、この問題がiOS 15.7.1以前のバージョンに対して悪用された可能性があると述べ、改善されたチェックによって対処されたとアドバイザリで発表しました。この脆弱性のパッチは2022年12月13日にiOS 16.2、iPadOS 16.2、macOS Ventura 13.1、tvOS 16.2、およびwatchOS 9.2のリリースとともに提供されましたが、公に開示されたのはそれから1年以上後の2024年1月9日でした。
Appleは以前にもカーネルの類似の脆弱性(CVE-2022-32844、CVSSスコア:6.3)をiOS 15.6およびiPadOS 15.6で対処しており、2022年7月20日にリリースされました。CVE-2022-48618の積極的な悪用を受け、CISAは連邦民間行政機関(FCEB)に対し、2024年2月21日までに修正を適用するよう推奨しています。さらに、AppleはWebKitブラウザエンジンのセキュリティ脆弱性(CVE-2024-23222、CVSSスコア:8.8)を積極的に悪用されていることを受け、そのパッチをApple Vision Proヘッドセットにも拡大しました。この修正はvisionOS 1.0.2で利用可能です。
【ニュース解説】
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、iOS、iPadOS、macOS、tvOS、およびwatchOSに影響を及ぼす高重大度の脆弱性(CVE-2022-48618)が積極的に悪用されていると警告しました。この脆弱性は、カーネルコンポーネントのバグに関連しており、攻撃者が任意の読み書き機能を用いてポインタ認証を回避することが可能になるというものです。Appleはこの問題を改善されたチェックによって対処し、iOS 15.7.1以前のバージョンに対して悪用された可能性があると述べています。
この脆弱性に対するパッチは、2022年12月13日にiOS 16.2、iPadOS 16.2、macOS Ventura 13.1、tvOS 16.2、およびwatchOS 9.2のリリースとともに提供されましたが、公に開示されたのはそれから1年以上後の2024年1月9日でした。これは、セキュリティ上の問題が発見されてから公にされるまでの時間差が、攻撃者による悪用の余地を与える可能性があることを示しています。
CISAは、この脆弱性の積極的な悪用を受けて、連邦民間行政機関(FCEB)に対し、2024年2月21日までに修正を適用するよう推奨しています。これは、政府機関に対するサイバーセキュリティの強化を促すものであり、重要なインフラの保護に対する意識の高まりを示しています。
さらに、AppleはWebKitブラウザエンジンのセキュリティ脆弱性(CVE-2024-23222)を積極的に悪用されていることを受け、そのパッチをApple Vision Proヘッドセットにも拡大しました。これは、Apple製品全体でセキュリティ対策を一貫して行うことの重要性を示しており、ユーザーの安全を確保するための努力が続けられていることを示しています。
このような脆弱性の発見とその後の対応は、サイバーセキュリティの世界において常に進行中の戦いであることを示しています。ユーザーとしては、常に最新のソフトウェアアップデートを適用し、セキュリティ対策を講じることが重要です。また、企業や政府機関は、セキュリティの脆弱性に迅速に対応し、情報を共有することで、より安全なデジタル環境の実現に貢献することが求められます。
from CISA Warns of Active Exploitation of Critical Vulnerability in iOS, iPadOS, and macOS.
