Apple、2 つのゼロデイ脆弱性を修正

** 本記事は、Apple patches double zero-day in browser and kernel – update now! の翻訳です。最新の情報は英語記事をご覧ください。**

Apple は、現在広く悪用されている 2 つのゼロデイ脆弱性に対して緊急アップデートを発表しました。

Apple の HTML レンダリングソフトウェア (WebKit) には、CVE-2022-32893 と呼ばれるリモートコード実行 (RCE) の脆弱性があり、これにより、攻撃用に仕込まれた Web ページが iPhone、iPad、Mac を騙して、権限がなく信頼されていないソフトウェアコードを実行させることが可能になります。

つまり、一見すると何の問題もない Web ページを見ただけなのに、サイバー犯罪者はあなたのデバイスにマルウェアを埋め込むことができてしまうのです。

WebKit は Apple のブラウザエンジンの一部であり、Apple のモバイルデバイスすべての Web レンダリングソフトウェアに組み込まれていることを忘れないでください。

Mac では、Chrome、Chromium、Edge、Firefox、その他の代替 HTMLおよび JavaScript エンジンを持つ「非 Safari」ブラウザを実行できます (たとえば Chromium は BlinkV8 を、Firefox は GeckoSpiderMonkey をベースにしています)。

しかし iOS と iPadOS では、Apple の App Store の規則により、あらゆる種類の Web ブラウジング機能を提供するソフトウェアは、WebKit をベースにしていなければなりません。これには、使用される可能性がある他のプラットフォームにて Apple のブラウジングコードに依存しない Chrome、Firefox、Edge などのブラウザが含まれます。

さらに、ヘルプ画面バージョン情報画面などのポップアップウィンドウを持つ Mac や iDevice のアプリケーションは、その「表示言語」として HTML を使用します。これは当然ながら、開発者に人気のあるプログラム上の利便性が理由です。

このようなアプリは、ほぼ間違いなく Apple の WebView システム関数を使用しており、WebView は WebKit の上に直接基づいているため、WebKit のあらゆる脆弱性の影響を受けることになります。

したがって、CVE-2022-32893 の脆弱性は、Apple の Safari ブラウザだけでなく、より多くのアプリやシステムコンポーネントに影響を与える可能性があり、WebKit 以外のブラウザが許可されている Mac であっても、単に Safari を使わないことが脆弱性の回避策になるとは言えないのです。

2 つ目のゼロデイ脆弱性

CVE-2022-32894 と呼ばれるカーネルコード実行の脆弱性も確認されており、Apple デバイスの攻撃への基本的な足がかりをすでに得ている攻撃者が、上記 WebKit のバグを悪用して、通常 Apple 社にのみ許される「管理者特権」を手に入れることができてしまいます。

この脆弱性の悪用は、デバイス上の単一のアプリの制御から、オペレーティングシステムのカーネル自体の乗っ取りにまで及びます。

具体的に、攻撃者は以下が可能になります。

  • 現在実行中のすべてのアプリケーションのスパイ
  • App Store を介さない追加アプリのダウンロードと起動
  • デバイス上のほぼすべてのデータへのアクセス
  • システムのセキュリティ設定の変更
  • 位置情報の取得
  • スクリーンショットの撮影
  • デバイスに搭載されたカメラの使用
  • マイクの起動
  • テキストメッセージのコピー
  • 閲覧履歴の追跡

その他多数

Apple は、これらのバグがどのように発見されたのか (「匿名の研究者」には頼らない)、世界のどこで悪用されているのか、また誰がどのような目的で使用しているのかについて、まだ言及していません。

しかしざっくり言えば、ここで見られるように、動作する WebKit RCEに続いて動作するカーネルエクスプロイトは、通常、デバイスの脱獄 (ほとんどすべての Apple が課すセキュリティ制限を意図的に回避すること) をマウントしたり、バックグラウンドスパイウェアをインストールしたりして、包括的に監視下におくために必要なすべての機能を提供しています。

対策

すぐにパッチを適用してください。

Apple は本記事の執筆時点で、バージョン番号が 15.6.1 に更新される iPad OS 15 と iOS 15、さらにはバージョン番号が 12.5.1 に更新される macOS Monterey 12 のアドバイザリーを公開しています。

macOS の古いサポートバージョン (Big SurとCatalina) はまだカーネルレベルのパッチを受け取っていないため、OS 自体は更新されません。

しかし、Safari 15.6.1 へのアップデートがスタンドアロンで提供されているため、macOS 10 Big Sur または macOS 11 Catalina をまだ使っている場合は、これを入手する必要があります。

  • iPhone や iPad の場合:「設定」>「一般」>「ソフトウェアアップデート」
  • Macの場合: 「アップルメニュー」 > 「この Mac について」 >「 ソフトウェアアップデート」

watchOS をバージョン 8.7.1 にするアップデートもありますが、このアップデートには CVE 番号が記載されておらず、それ自体のセキュリティアドバイザリーもありません。

tvOS が影響を受けないのか、あるいは脆弱性があってもパッチが適用されていないのかについては、今のところ不明です。

詳細については、今後公開される記事をご覧ください。また、Apple の公式セキュリティ情報ポータルサイト HT201222 にも注目しておきましょう。