再び発生しました。トロント大学シチズン・ラボのビル・マルザック氏とGoogle脅威分析グループのマディ・ストーン氏は、Appleを標的としたセキュリティ脆弱性を新たに3件特定しました。これらの脆弱性は積極的に悪用されています。前回同様、この件について明確な説明をするブログ記事はありませんが(「OSセキュリティアップデートのプラグイメージとウォレットの脆弱性がPegasusスパイウェアに悪用される」2023年9月7日参照)、これらの脆弱性はNSOグループのPegasusスパイウェアによって悪用されている可能性が高いようです。
脆弱性の1つは、Webコンテンツの処理中に任意のコードが実行される可能性があり、もう1つは悪意のあるアプリによる署名検証のバイパスを許し、3つ目はローカルの攻撃者が権限を昇格させる可能性があります。これは、セキュリティエディターのリッチ・モーグル氏も賛同していますが、私としては、完全なエクスプロイトチェーンのように思えます。
Apple は、iOS、iPadOS、watchOS の最新 2 バージョンと、来週リリース予定の macOS 14 Sonoma の 1 つ前の 2 バージョンの macOS のアップデートをリリースしました。(ベータ版アップデートを受信していた場合は、iOS 17.0.1、iPadOS 17.0.1、watchOS 10.0.1 のアップデートは提供されません。最新のものを確認するには、ベータ版のアップデートをオフにしてください。) ソフトウェア・アップデートを使用してすべてをインストールします。
リリース ノートはすべての更新でほぼ同じです。
- iOS 17.0.1 および iPadOS 17.0.1
- iOS 16.7 および iPadOS 16.7
- ウォッチOS 10.0.1
- ウォッチOS 9.6.3
- macOS ベンチュラ 13.6
- macOS モンテレー 12.7
これらの脆弱性がPegasusによって悪用されており、より広範なユーザーを狙ったものではないという前提に立つと、ほとんどのユーザーはすぐにアップデートする必要はありませんが、都合の良い時にできるだけ早くアップデートすることをお勧めします。例えば、可能であれば「今夜アップデート」オプションを活用しましょう。私のiPhone 14 Proでは、iOS 17.0.1アップデートのインストールに約13分かかりました。
Appleによると、これらの脆弱性を狙ったエクスプロイトはiOS 16.7より前のバージョンのiOSで使用されている可能性があるとのことです。つまり、iOS 15またはiPadOS 15以降にアップグレードできないデバイスを使用している場合は、依然として脆弱性が残る可能性があります。繰り返しますが、ほとんどの人にとっては心配するほどのことではないかもしれませんが、国家による攻撃を懸念している場合は、新しいiPhoneを購入し、最新バージョンのiOSにアップグレードして、ロックダウンモードをオンにしてください。