Apple、iOS、macOS の「クリックレス」ゼロデイ画像処理の脆弱性を修正

Apple は本日、iOS、iPadOS、macOS、watchOS のセキュリティ アップデートをリリースし、「悪意を持って作成されたイメージ」や添付ファイルを介してマルウェアをインストールするために悪用される積極的に悪用されるゼロデイ セキュリティ欠陥を修正しました。iOS 16.6.1、iPadOS 16.6.1、macOS 13.5.2、watchOS 9.6.2 のアップデートでは、Apple のすべてのプラットフォームにわたる欠陥が修正されています。この記事の執筆時点では、iOS 15 や macOS 12 などの古いバージョンのアップデートはリリースされていません。

CVE-2023-41064 および CVE-2023-41061 の欠陥は、トロント大学マンク国際問題・公共政策大学院の Citizen Lab によって報告されました。「BLASTPASS」とも呼ばれるこのバグは、画像や添付ファイルを読み込むだけで悪用される可能性があり、Safari、メッセージ、WhatsApp、その他のファーストパーティやサードパーティのアプリで定期的に発生するバグであり、シチズンラボは深刻だと述べている。これらのバグは、「ゼロクリック」または「クリックレス」脆弱性とも呼ばれます。

Citizen Lab はまた、BLASTPASS のバグは「NSO グループのPegasus mercenary スパイウェアを配信するために使用されている」と述べました。これは、完全にパッチが適用された iOS および Android デバイスに感染するために使用されてきた、同様のエクスプロイトの長いラインの最新のものです。

この種の欠陥を心配するユーザーは、iOS および macOS デバイスでロックダウン モードを有効にすることで、事前にそれらを軽減できます。とりわけ、多くの添付ファイルの種類をブロックし、リンク プレビューを無効にします。これは、攻撃者がこれらの「クリックレス」脆弱性を悪用するために使用できる種類の攻撃ベクトルです。

「私たちは、ロックダウンモードがこの特定の攻撃をブロックすると信じており、Appleのセキュリティエンジニアリングおよびアーキテクチャチームも確認しました」とシチズンラボは述べた。

これらのアップデートは、来週の Apple の 9 月の製品発表イベントに先立ってリリースされる最後のアップデートの一部となる可能性が高く、そこでiOS 17、iPadOS 17、そしておそらく他のソフトウェアのリリース日が発表されると予想されます。