最新のmacOS 13.3.1 VenturaやiOS 16.4.1などで修正されたゼロデイ脆弱性CVE-2023-28206のPoCが公開。

　最新のmacOS 13.3.1 VenturaやiOS 16.4.1などで修正されたゼロデイ脆弱性CVE-2023-28206のPoCが公開されています。詳細は以下から。

　Appleは現地時間2023年04月07日から10日にかけて、現在セキュリティサポートを行っているmacOS 11 Big SurやiOS/iPadOS 15以降のデバイスに対し、2件のゼロデイ脆弱性を修正したセキュリティアップデートをリリースしましたが、

• Mac
  • macOS 13.3.1 Ventura (22E261)
  • macOS 12.6.5 Monterey (21G531)
  • macOS 11.7.6 Big Sur (20G1231)
• iPhone/iPad
  • iOS 16.4.1/iPadOS 16.4.1 (20E252)
  • iOS 15.7.5/iPadOS 15.7.5 (19H332)

これに合わせて、Google脅威分析チームのClément LecigneさんとAmnesty International’s Security LabのDonncha Ó Cearbhaillさんにより発見されたIOSurfaceAcceleratorの領域外書き込み(Out-Of-Bounds)に対する脆弱性「CVE-2023-28206」の実証コード(PoC)が公開されています。

　PoCを公開したのはJailbreakツールFugu14などを開発するLinus Henzeさんで、実行することでmacOS 13.3 VenturaやmacOS 12.6.5 Monterey, macOS 11.7.6 Big Sur、iOS/iPad 16.4, iOS/iPadOS 15.7.4以下のMacやiPhone、iPad上でカーネル権限で任意のコードを実行*できる可能性があるので、MacやiPhone, iPadユーザーの方は早めにセキュリティアップデートを適用することをおすすめします。

• A PoC for CVE-2023-28206 – Gist