Last Updated on 2024-10-29 22:08 by admin
【ダイジェスト】
Apple社が、SafariのブラウザエンジンであるWebKitに存在するゼロデイ脆弱性を修正しました。この脆弱性は、アプリケーションが受け取った入力が特定のタイプであると誤って想定し、適切に検証しない、または誤って検証することによって発生する「型混同エラー」によるものです。Appleはこの問題が悪用された可能性があると報告しており、iOS、iPadOS、macOS、tvOSの更新版をリリースして対応しました。
このCVE-2024-23222は、2024年にAppleが公表した最初のWebKitのゼロデイ脆弱性であり、2023年には11件のゼロデイバグが公表されています。2021年以降、Appleは合計で22件のWebKitゼロデイバグを公表しており、研究者と攻撃者の両方からのブラウザへの関心が高まっていることを示しています。
Appleの新しいWebKitゼロデイの公表は、GoogleがChromeのゼロデイを公表した直後に行われました。これは、近い時期に両社がそれぞれのブラウザのゼロデイを公表するという、最近の傾向を示しています。ChromeとSafariは最も広く使用されているブラウザであるため、研究者と攻撃者は両方の技術にほぼ同等に探索している可能性があります。
Appleは新たに公表されたゼロデイバグを標的とした悪用活動の性質については明らかにしていませんが、研究者はAppleの最近のゼロデイのいくつかが商用スパイウェアベンダーによって悪用され、ターゲットのiPhoneに監視ソフトウェアをインストールするために使用されたと報告しています。GoogleもChromeに関して同様の懸念を表明しており、Appleがゼロデイバグを公表したのとほぼ同時期に、Googleの脅威分析グループの研究者が、AndroidデバイスにPredatorをインストールするためにChromeのゼロデイ(CVE-2023-4762)を含むエクスプロイトチェーンを開発したと報告しています。
ブラウザの脆弱性を悪用しようとするのは、監視ベンダーだけではありません。Menlo Securityの近日公開予定のレポートによると、2023年後半にはブラウザベースのフィッシング攻撃が前半に比べて198%増加しました。さらに、従来のセキュリティ対策を回避する技術を使用する「回避的攻撃」は、206%増加し、後半のブラウザベースの攻撃の30%を占めています。
Menlo Securityは、30日間にわたって、セキュアウェブゲートウェイやその他のエンドポイント脅威検出ツールを回避する「ゼロアワー」ブラウザベースのフィッシング攻撃を11,000件以上観測しました。同社は、「ブラウザは企業が手放せないビジネスアプリケーションだが、セキュリティと管理の面で遅れをとっている」と述べています。
【ニュース解説】
Appleは最近、SafariブラウザのエンジンであるWebKitに存在するゼロデイ脆弱性を修正しました。この脆弱性は、アプリケーションが受け取ったデータの種類を間違えて認識し、それを適切にチェックしないことで起こる「型混同エラー」と呼ばれるものです。この問題を悪用すると、攻撃者はシステム上で好きなコードを実行できる可能性があります。Appleはこの脆弱性が実際に悪用された可能性があると報告し、iOS、iPadOS、macOS、tvOSの各システムの更新版をリリースして対策を講じました。
2024年に入ってからAppleが公表した最初のWebKitのゼロデイ脆弱性であるCVE-2024-23222は、2023年に公表された11件のゼロデイバグに続くものです。2021年以降、Appleは合計22件のWebKitゼロデイバグを公表しており、ブラウザに対する研究者と攻撃者の関心が高まっていることが伺えます。
Appleの発表は、GoogleがChromeブラウザのゼロデイ脆弱性を公表した直後に行われました。これは、ChromeとSafariという世界で最も広く使われているブラウザの脆弱性が、ほぼ同時期に研究者や攻撃者によって発見されるという最近の傾向を示しています。
Appleは新たに公表されたゼロデイバグがどのように悪用されたかについては詳細を明かしていませんが、過去にはAppleのゼロデイ脆弱性が商用スパイウェアベンダーによって悪用され、特定のiPhoneに監視ソフトウェアをインストールするために使用されたことが報告されています。GoogleもChromeに関して同様の懸念を持っており、Appleのゼロデイバグが公表された時期に近い時期に、AndroidデバイスにスパイウェアをインストールするためのChromeのゼロデイ脆弱性が発見されたことがあります。
ブラウザの脆弱性を悪用するのはスパイウェアベンダーだけではなく、Menlo Securityの報告によると、2023年の後半にはブラウザを使ったフィッシング攻撃が前半に比べて198%増加しました。特に、セキュリティ対策を回避するための技術を使った攻撃が206%増加し、全体の30%を占めています。また、セキュリティツールを回避する「ゼロアワー」のフィッシング攻撃が11,000件以上観測されたとのことです。Menlo Securityは、ブラウザは企業にとって不可欠なツールであるものの、セキュリティと管理の面で改善が必要だと指摘しています。
from Days After Google, Apple Reveals Exploited Zero-Day in Browser Engine.