Appleは木曜日に、iPhone、iPad、Macデバイスの2つの重大なゼロデイ脆弱性の修正をリリースしました。これにより、ハッカーはデバイスが実行されているオペレーティングシステムの内部に危険なアクセスをすることができます。
Appleは、匿名の研究者が両方の脆弱性を発見したことを認めた。 最初の脆弱性であるCVE-2022-22675は、Montereyの場合はmacOSにあり、ほとんどのiPhoneおよびiPadモデルの場合はiOSまたはiPadOSにあります。 範囲外の書き込みの問題に起因するこの欠陥により、ハッカーは、オペレーティングシステムの最もセキュリティに敏感な領域であるカーネル特権で実行される悪意のあるコードを実行できるようになります。 同時に、CVE-2022-22674は、カーネルメモリの検出につながる可能性のある範囲外の読み取りの問題も引き起こします。
Appleは欠陥の正確な詳細を明らかにした ここ そしてその ここ。 同社は両方の脆弱性について次のように書いています。「Appleは、この問題が積極的に悪用された可能性があるという報告を認識しています。」
雨が降っているリンゴのゼロデイ
CVE-2022-22674およびCVE-2022-22675は、Appleが今年修正する4番目と5番目のゼロデイです。 1月、同社はiOS、iPadOS、macOS Monterey、watchOS、tvOS、HomePodのパッチをすばやくリリースしました。 ゼロデイメモリ破損のバグを修正 これにより、悪用者はカーネル権限でコードを実行できるようになります。 CVE-2022-22587として追跡されているバグは、IOMobileFrameBufferにあります。 別の脆弱性であるCVE-2022-22594により、Webサイトが機密性の高いユーザー情報を追跡できるようになりました。 この脆弱性のエクスプロイトコードは、パッチのリリース前に公開されました。
Appleは2月に修正をプッシュしました バグフリー後に使用 攻撃者がiPhone、iPad、およびiTouchで悪意のあるコードを実行できるようにするWebkitブラウザエンジンに。 Appleは、受け取った報告は、脆弱性(CVE-2022-22620)が積極的に悪用された可能性があることを示していると述べた。
a テーブル Googleのセキュリティ研究者は、Appleが2021年にこれらの脆弱性の合計12を修正したことを示すゼロ日を追跡しています。その中には、Pegasusスパイウェアフレームワークが対象としていたiMessageの欠陥がありました。 ゼロクリックを活用する、これは、デバイスが悪意のあるメッセージを受信するとすぐに、ユーザーからのアクションを必要とせずに感染したことを意味します。 アップルのゼロデイ 5月に修正 これにより、攻撃者は完全に更新されたデバイスに感染することが可能になりました。
「流行に敏感な探検家。受賞歴のあるコーヒーマニア。アナリスト。問題解決者。トラブルメーカー。」
More Stories
Steam、返金ポリシーの抜け穴を解消、予約注文すればゲームを早くプレイできるものの名前をついに考案
任天堂、国防総省ゲーリーに20年分のコンテンツ削除を強制
英雄伝クロニクル:百英雄のパッチアップデートはすでに利用可能です