Apple は、Intel ベースの Mac システムに対するゼロデイ攻撃ですでに悪用されている 2 つの脆弱性を修正するために、macOS と iOS の重要なセキュリティ アップデートを迅速にリリースしました。 Google の脅威分析グループ (TAG) は、これらの脆弱性を特定しました。これらの脆弱性は、重大なセキュリティ上の問題を引き起こす可能性のある有害な Web コンテンツを処理するため、特に問題となっています。
ゼロデイ脅威の暴露
CVE-2024-44308 および CVE-2024-44309 として追跡されている脆弱性は、任意のコード実行やクロスサイト スクリプティング (XSS) 攻撃の可能性があるため、深刻な脅威です。
- CVE-2024-44308 は JavaScriptCore に関連しており、悪意を持って作成された Web コンテンツを処理すると、攻撃者が任意のコードを実行できる可能性があります。 Apple は、この問題が Intel ベースの Mac ですでに悪用されている可能性があるという報告を認識しています。
- CVE-2024-44309 は WebKit に関連しており、同様の戦術が XSS 攻撃につながる可能性があることを示しています。繰り返しになりますが、Apple は Intel ベースの Mac システムの積極的な悪用についての認識について言及しています。
これらの脆弱性は、悪用された場合の Apple の認識不足により「ゼロデイ」と分類されており、状況はさらに悪化しています。当然のことながら、これらの攻撃はユーザー情報やデバイスの完全性を危険にさらす可能性があり、ユーザーが自分のデバイスが安全であることを確認する重要性が強調されています。
Apple の最新アップデートがデバイスのセキュリティにとって重要である理由
Apple は、エコシステム内のすべてのユーザーに対し、最新のソフトウェア アップデート (iOS 18.1.1、macOS Sequoia 15.1.1、および古い iOS 17.7.2) を迅速にインストールするようアドバイスしています。 Apple の迅速な対応は、脆弱性の脅威の深刻さを浮き彫りにしています。
Apple は攻撃や侵害の痕跡 (IOC) に関する詳細を公開していないが、セキュリティ専門家らは TAG の参加により、政府支援の攻撃者と関係がある可能性があると考えている。このチームは国家支援によるハッキングやサイバー攻撃を調査し、特定の高度な危険に対する懸念を表明しています。
この 2 つの脆弱性は、Apple の Safari ブラウザを駆動し、Web コンテンツを処理する Web エンジン (WebKit と JavaScriptCore) を標的としているため、特に懸念されます。過去には、悪意のあるハッカーが WebKit に引き寄せられ、WebKit の脆弱性を悪用し、より多くのデバイス機能やユーザー データにアクセスしました。
最近発生したサイバー脅威は個別の出来事ではありません。今月初め、北朝鮮のサイバー犯罪者は、仮想通貨の窃盗に関与した macOS ユーザーを狙った新たな計画を開始しました。このキャンペーンでは、Apple のセキュリティ対策を回避する賢い戦術を使用して、フィッシングメールと偽の PDF アプリケーションを使用し、これらの脅威の継続的かつ変化する性質を実証しました。
セキュリティ専門家は、サイバー攻撃が継続し警戒を呼び起こす中、警戒することの重要性を強調している。ユーザーはソフトウェア更新を積極的にインストールし、デバイスのセキュリティを危険にさらす可能性のあるフィッシング詐欺に常に警戒する必要があります。
このシナリオは、サイバー安全性が誰もが参加しなければならない義務であることを強調しています。Apple はあらゆる問題に迅速に対応するため、Apple エコシステムのユーザーは常に警戒し、定期的にデバイスを更新する必要があります。
注目の画像クレジット: メヘラックス/アンスプラッシュ
この投稿 Apple を襲った 2 つの危険なゼロデイ欠陥 appeared first on TechBriefly
Source: 2 つの危険なゼロデイ欠陥が Apple を襲う
