Appleが既に悪用された可能性のあるゼロデイ脆弱性を修正した「iOS 12.5.5」と「macOS Catalinaセキュリティアップデート2021-006」をリリースしています。詳細は以下から。
Appleは現地時間2021年09月23日、macOS 10.15 Catalina搭載のMac向けに「macOS Catalinaセキュリティアップデート2021-006」を、iPhone 5sやiPhone 6シリーズ, iPad Air, iPad mini 2, iPad mini 3, iPod touch (第6世代)向けに「iOS 12.5.5」をリリースしたと発表しています。
このアップデートをすべてのユーザに推奨します。このアップデートを適用するとmacOSのセキュリティが向上します。
リリースノートより
セキュリティコンテンツによると、今回のセキュリティアップデートではGoogle Threat Analysis GroupのErye Hernandez(@eryeh)さんらによって発見されたOSカーネルであるXNUに関する脆弱性(CVE-2021-30869)が修正されており、
0day privilege escalation for macOS Catalina discovered in the wild by @eryeh https://t.co/yvCWPo45fL
We saw this used in conjunction with a N-day remote code execution targeting webkit.
Thanks to Apple for getting patch out so quickly.
— Shane Huntley (@ShaneHuntley) September 23, 2021
この脆弱性によりアプリケーションにカーネル権限を取得され、任意のコードを実行される可能性があるほか、Apple(Google)ではこの脆弱性が既に実際に悪用された可能性があるという報告を受けているそうなので、macOS 10.15 Catalina/iOS 12ユーザーの方は時間を見つけてアップデートすることをお勧めします。
XNU
- Available for: macOS Catalina
- Impact: A malicious application may be able to execute arbitrary code with kernel privileges. Apple is aware of reports that an exploit for this issue exists in the wild.
- Description: A type confusion issue was addressed with improved state handling.
- CVE-2021-30869: Erye Hernandez of Google Threat Analysis Group, Clément Lecigne of Google Threat Analysis Group, and Ian Beer of Google Project Zero
- Apple security updates – Apple
コメント