Apple、2件のゼロデイ脆弱性を修正した「iOS/iPadOS 16.6.1 (20G81)」をリリース。

iOS 16.6.1 iOS 16/iPadOS 16
iOS/iPadOS 16.6.1アップデート
記事内に広告が含まれています。
スポンサーリンク

 Appleが2件のゼロデイ脆弱性を修正した「iOS/iPadOS 16.6.1」をリリースしています。詳細は以下から。

iOS 16

 Appleは現地時間2023年09月07日、iPhone 8以降のiPhoneやiPad Pro、iPad Air (第3世代)、iPad (第5世代)、iPad mini (第5世代)向けに07月にリリースしたiOS/iPadOS 16.6 (20G75)のHotfixとなる「iOS/iPadOS 16.6.1 (20G81)」を新たに公開しています。

iOS 16.6.1

このアップデートには重要なセキュリティアップデートが含まれ、すべてのユーザに推奨されます。

リリースノートより

 Appleが公開したリリースノートには「このアップデートには重要なセキュリティアップデートが含まれ」としか記載されていませんが、同時に公開したセキュリティコンテンツによると、iOS/iPadOS 16.6.1にはImageIO(CVE-2023-41064)とWallet(CVE-2023-41061)に関する2件の脆弱性が含まれており、

About the security content of iOS 16.6.1 and iPadOS 16.6.1

Impact: Processing a maliciously crafted image may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

About the security content of iOS 16.6.1 and iPadOS 16.6.1より

Appleは、どちらの脆弱性に関しても積極的に悪用された可能性があるという報告を確認し、ImageIOに関しては報告者としてクレジットされているトロント大学Munk SchoolのThe Citizen Labが、iMessageなどに悪意のある画像を処理させる事でゼロクリックで任意のコードを実行させられる可能性があるゼロデイ脆弱性をイスラエルNSO GroupのスパイウェアPegasasusが悪用しているのを確認したとプレスリリースを公開、

この脆弱性にはサードパーティアプリがAppleのWallet機能をアプリに実装するためのPassKitも含まれているため通称BLASTPASSという名前がつけられ、今後脆弱性の詳細を公開すると発表しているので、iPhone/iPadユーザーの方は時間を見つけてアップデートすることをおすすめします。

The BLASTPASS Exploit Chain
We refer to the exploit chain as BLASTPASS. The exploit chain was capable of compromising iPhones running the latest version of iOS (16.6) without any interaction from the victim.
The exploit involved PassKit attachments containing malicious images sent from an attacker iMessage account to the victim.

BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild – The Citizen Lab

おまけ

 なお、AppleはWalletの脆弱性に関して、Apple Watchにも「watchOS 9.6.2 (20U90)」をApple Watch Series 4以降のApple Watchにリリースしています。

watchOS 9.6.2

コメント

タイトルとURLをコピーしました