Appleが悪意のある画像を処理させるだけで任意のコードが実行される可能性のあるゼロデイ脆弱性を修正した「macOS Ventura 13.5.2 (22G91)」をリリースしています。詳細は以下から。
Appleは現地時間2023年09月07日、悪意のある画像を処理するだけで任意のコードが実行される可能性のあるゼロデイ脆弱性(CVE-2023-41064)を修正した「iOS/iPadOS 16.6.1 (20G81)」をリリースしましたが、macOSにも同じ脆弱性を修正した「macOS Ventura 13.5.2 (22G91)」がリリースされています。
このアップデートには重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます。
リリースノートより
セキュリティコンテンツにクレジットされているトロント大学Munk SchoolのThe Citizen Labによると、この脆弱性(通常BLASTPASS)はユーザーに悪意のある画像を処理させるだけでゼロクリックで任意のコードを実行させることが可能で、NSO GroupのスパイウェアPegasusが既に活用しているのを確認しており、
Impact: Processing a maliciously crafted image may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
About the security content of macOS Ventura 13.5.2
AppleはmacOS 13.5.1アップデートでメモリ処理を改善し、この脆弱性に対処したと発表しているため、The Citizen LabはMacやiPhoneなどAppleデバイスを利用しているユーザーに出来るだけ早くアップデートを適用することを進めています。
🚨🚨WE URGE EVERYONE TO UPDATE THEIR APPLE DEVICES AS SOON AS POSSIBLE.
We have found an actively exploited #zero #click vulnerability that was used to deliver #NSO group’s #Pegasus #spyware. https://t.co/BS0ZI4QuIz
— Citizen Lab (@citizenlab) September 7, 2023
- Apple security releases – Apple Support
- BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild – The Citizen Lab
コメント