マルコム・オーウェン
· 1分で読めます
Apple の iOS 14.8 および iPadOS 14.8 へのアップデートでは、Apple の Blastdoor 保護システムを回避する攻撃を可能にする脆弱性を含む 2 つの脆弱性が修正されました。
月曜日に一般公開されたiOS 14.8とiPadOS 14.8は予想外のものであり、公開前にベータ版が公開されることはありませんでした。Appleは、これらのパッチは「重要なセキュリティアップデートであり、すべてのユーザーに推奨される」と説明しています。
リリース直後、AppleはiOS 14.8とiPadOS 14.8に含まれるセキュリティコンテンツの変更を公開しました。この2つの修正は、両OSのCoreGraphicsセクションとWebKitセクションに関連しています。
どちらのアップデートでも、脆弱性の影響は「悪意を持って作成された」PDFファイルやウェブコンテンツを処理すると「任意のコードが実行される可能性がある」と述べられている。Appleは「この問題が積極的に悪用されている可能性があるという報告を認識している」という。
CoreGraphics パッチは、The Citizen Lab によって報告された問題 CVE-2021-30860 としてリストされていますが、「匿名の研究者」は WebKit に影響を与える CVE-2021-30858 を報告しました。
このアップデートでは、メッセージ内での悪意あるコードの実行を阻止するシステムであるAppleのBlastDoorセキュリティサンドボックスを攻撃者が回避できる問題を修正している。
7月にハッキングツール「ペガサス」に関する最初の報道がなされた後、8月にCitizen Labが発表した2番目の報告書では、iMessageの脆弱性が明らかになり、標的のiPhoneにペガサスがインストールされる可能性があることが明らかになりました。このハッキングとペガサスの使用は、ジャーナリストや人権活動家が所有するデバイスで行われたと考えられています。
更新: iOS 14.8アップデートの公開後、Citizen LabはCVE-2021-30860の脆弱性を悪用したゼロクリックエクスプロイトに関するレポートを公開しました。Citizen Labによると、このエクスプロイトはNSO Groupによって開発されたようで、少なくとも1人のサウジアラビアの活動家のスマートフォンを標的にしていた際に発見されました。Appleの画像レンダリングライブラリを標的としたこのエクスプロイトは、影響を受けたデバイスにPegasusスパイウェアを拡散するために使用されました。
