概要
Appleは、古めのiPhoneやiPadを対象とした緊急セキュリティアップデート、iOS 15.8.7とiPadOS 15.8.7をリリースしました。このアップデートは、高度な脅威である「Coruna」エクスプロイトキットからユーザーを保護するためのものです。
Coruna エクスプロイトキットの脅威
Coruna エクスプロイトキットは、既知のメモリーコルーチンと使用済みメモリの再利用(use-after-free)の脆弱性を悪用します。攻撃者は、悪意のあるウェブコンテンツをユーザーに送りつけることで、これらの脆弱性をトリガーし、セキュリティのサンドボックスをバイパスします。サンドボックスを脱出すると、エクスプロイトはデバイスのカーネルを標的とし、攻撃者の権限を拡張します。これにより、攻撃者は侵害されたiPhoneやiPadに対して広範な制御を獲得します。
アップデートの内容
Appleは、iOS 15エコシステムに4つの重要な修正をバックポートしました。このアップデートは、デバイスのカーネルとWebKitエンジンの4つの異なる脆弱性を対象としています。
- CVE-2023-41974 (カーネル): フェリックス・プーリン・ベルランジャーによって発見されたこの使用済みメモリの再利用の問題は、悪意のあるアプリケーションが最大のカーネル権限で任意のコードを実行できるようにしました。Appleは、メモリ管理を改善することでこの問題に対処しました。
- CVE-2024-23222 (WebKit): 悪意のあるウェブコンテンツを処理することで任意のコードを実行できる可能性がある重大な型の混同の脆弱性。
- CVE-2023-43000 (WebKit): ユーザーが悪意のあるウェブページを訪問したときにメモリーコルーチンを引き起こす可能性がある使用済みメモリの再利用の脆弱性。
- CVE-2023-43010 (WebKit): 悪意のあるウェブコンテンツを処理することでメモリーコルーチンを引き起こす可能性があるメモリーハンドリングの問題。
影響を受けるデバイス
この緊急アップデートは、最新のiOS更新が適用できない古いハードウェア向けに設計されています。影響を受けるデバイスは以下の通りです:
- iPhone 6s(すべてのモデル)
- iPhone 7(すべてのモデル)
- iPhone SE(第1世代)
- iPad Air 2
- iPad mini(第4世代)
- iPod touch(第7世代)
これらの古いデバイスを使用しているユーザーは、すぐにオペレーティングシステムを更新することを強く推奨します。
アップデートの手順
パッチをインストールするには、ユーザーは「設定」アプリを開き、「一般」をタップし、「ソフトウェア更新」を選択して、iOS 15.8.7またはiPadOS 15.8.7をダウンロードして適用します。
元記事: https://gbhackers.com/apple-releases-emergency-ios-15-8-7-update/