Apple、既に悪用された可能性のあるゼロデイ脆弱性を修正した「macOS Catalinaセキュリティアップデート2021-006」と「iOS 12.5.5」をリリース。

スポンサーリンク

 Appleが既に悪用された可能性のあるゼロデイ脆弱性を修正した「iOS 12.5.5」と「macOS Catalinaセキュリティアップデート2021-006」をリリースしています。詳細は以下から。

macOS 10.15 Catalina

 Appleは現地時間2021年09月23日、macOS 10.15 Catalina搭載のMac向けに「macOS Catalinaセキュリティアップデート2021-006」を、iPhone 5sやiPhone 6シリーズ, iPad Air, iPad mini 2, iPad mini 3, iPod touch (第6世代)向けに「iOS 12.5.5」をリリースしたと発表しています。

macOS Catalinaセキュリティアップデート2021-006

このアップデートをすべてのユーザに推奨します。このアップデートを適用するとmacOSのセキュリティが向上します。

リリースノートより

 セキュリティコンテンツによると、今回のセキュリティアップデートではGoogle Threat Analysis GroupのErye Hernandez(@eryeh)さんらによって発見されたOSカーネルであるXNUに関する脆弱性(CVE-2021-30869)が修正されており、

この脆弱性によりアプリケーションにカーネル権限を取得され、任意のコードを実行される可能性があるほか、Apple(Google)ではこの脆弱性が既に実際に悪用された可能性があるという報告を受けているそうなので、macOS 10.15 Catalina/iOS 12ユーザーの方は時間を見つけてアップデートすることをお勧めします。

CVE-2021-30830

なお、iOS 12.5.5ではSafari 14.1.2で修正されたWebKitの脆弱性(CVE-2021-30858)とCoreGraphicsの脆弱性(CVE-2021-30860)も修正されています。

XNU

  • Available for: macOS Catalina
  • Impact: A malicious application may be able to execute arbitrary code with kernel privileges. Apple is aware of reports that an exploit for this issue exists in the wild.
  • Description: A type confusion issue was addressed with improved state handling.
  • CVE-2021-30869: Erye Hernandez of Google Threat Analysis Group, Clément Lecigne of Google Threat Analysis Group, and Ian Beer of Google Project Zero