Apple、既に悪用された可能性があるアプリがカーネル権限で任意のコードを実行できる脆弱性を修正した「macOS Big Sur 11.5.1」および「iOS/iPadOS 14.7.1」をリリース。

スポンサーリンク

 Appleが既に悪用された可能性があるアプリがカーネル権限で任意のコードを実行できる脆弱性を修正した「macOS Big Sur 11.5.1」および「iOS/iPadOS 14.7.1」をリリースしています。詳細は以下から。

macOS 11 Big Surのロゴ

 Appleは現地時間2021年07月27日、macOS 11 Big Sur対応のMac向けに「macOS Big Sur 11.5.1 (20G80)」を、iOS 14対応のiPhoneおよびiPad向けに「iOS/iPadOS 14.7.1 (18G82)」をリリースしたと発表しています。

macOS Big Sur 11.5.1 (20G80)

macOS Big Sur 11.5.1を適用すると、重要なセキュリティアップデートが提供されます。このアップデートをすべてのユーザに推奨します。

リリースノートより

 Appleは現地時間2021年07月19日にiOS 14.7を07月21日にmacOS 11.5 Big SuriPadOS 14.7をリリースしたばかりですが、今回のアップデートはそれまでに発見&修正できなかった脆弱性のHotfixのようで、Appleも既に悪用された可能性について把握している、アプリケーションがカーネル権限で任意のコードを実行可能なIOMobileFrameBufferの脆弱性「CVE-2021-30807」が修正されているそうです。

macOS Big Sur 11.5.1 and iOS 14.7.1 and iPadOS 14.7.1

アプリケーションがカーネル権限で任意のコードを実行できる可能性があります。Appleでは、この脆弱性が悪用された可能性があるという報告について把握しています。

セキュリティコンテンツより

 この脆弱性のクレジットには匿名のセキュリティ研究者と記載されていますが、macOS/iOSのカーネル脆弱性を研究されているSiddharth Aeri(@b1n4r1b01)さんとSaar Amar(@AmarSaar)さんがPoCを公開しており、既に攻撃者が利用するExploit Kitに導入されているという情報もあるので、macOS 11 Big SurやiOS 14ユーザーの方は時間を見つけてアップデートすることをお勧めします。

IOMobileFrameBuffer

  • Available for: macOS Big Sur
  • Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.
  • Description: A memory corruption issue was addressed with improved memory handling.
  • CVE-2021-30807: an anonymous researcher