シチズン・ラボによると、アップル社が本日緊急セキュリティ・アップデートで修正した2つのゼロデイ脆弱性が、「BLASTPASS」として知られるゼロヒット悪用の連鎖の一部として積極的に悪用され、NSOグループの商用スパイウェア「Pegasus」をパッチ未適用のiPhoneに展開しているという。
つの脆弱性とは CVE-2023-41064 そして CVE-2023-41061これにより、攻撃者は、iOS 16.6を実行し、ワシントンD.C.の市民団体に属する、完全にパッチが適用されたiPhoneを、悪意のある画像を含むPassKitの添付ファイル経由で感染させることができる。
「私たちはこのエクスプロイトチェーンをBLASTPASSと呼んでいます。このエクスプロイトチェーンは、iOSの最新バージョン(16.6)を実行しているiPhoneを、被害者の操作なしに危険にさらすことができます」とCitizen Labは述べている。
「この脆弱性には、攻撃者の情報を含むPassKitの添付ファイルが含まれる。 アイメッセージ アカウントは被害者に悪意のある画像を送信する。
また、シチズン・ラボは、アップル社の顧客に対し、直ちにデバイスをアップデートするよう促すとともに、身元や職業が原因で標的型攻撃の危険にさらされている人々に対し、ロックダウンモードを起動するよう呼びかけている。
AppleとCitizen Labのセキュリティ研究者は、Image I/OとWalletフレームワークに2つのゼロデイ脆弱性を発見した。
BLASTPASS Exploit
CVE-2023-41064は、悪意を持って細工された画像を処理する際に引き起こされるバッファオーバーフローであり、CVE-2023-41061は、悪意のある添付ファイルを介して悪用される可能性のある認証の問題です。
いずれも、パッチの適用されていないiPhoneおよびiPadデバイス上で、脅威者が任意のコードを実行できるようにするものだ。
AppleはmacOS Ventura 13.5.2、iOS 16.6.1、iPadOS 16.6.1、watchOS 9.6.2の不具合に対処し、ロジックとメモリ処理を改善した。
影響を受ける機器のリストは以下の通り:
iPhone 8以降
iPad Pro(全モデル)、iPad Air第3世代以降、iPad第5世代以降、iPad mini第5世代以降。
macOS Venturaが動作するMac Apple Watch Series 4以降
今年に入ってから、アップルはiOS、macOS、iPadOS、watchOSを搭載したデバイス向けに、合計13件のゼロデイ脆弱性を修正した:
7月に2件のゼロデイ脆弱性(CVE-2023-37450およびCVE-2023-38606)が発生した。
6月に3件のゼロデイ脆弱性(CVE-2023-32434、CVE-2023-32435、CVE-2023-32439)
5月には新たに3件のゼロデイ脆弱性が追加された(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)。
4月に2件のゼロデイ脆弱性(CVE-2023-28206およびCVE-2023-28205)が発生。
また、2月にはWebKitのゼロデイ脆弱性(CVE-2023-23529)が発生した。
元記事はSnowFlakeによるもの。転載の際は、https://www.cncso.com/jp/apple-zero-click-imessage-exploit.html。
