リリースされたばかりのものを含む、Apple の最新のセキュリティ アップデート コレクションが到着しました。 macOS13アドベンチャー、それはそれ自身を伴っていました セキュリティ情報 なんと 112 の CVE 番号付きセキュリティ ホールがリストされています。
それらのうち、27 の任意のコード実行ホールを数えました。そのうち 12 では、不正なコードがカーネル自体に直接挿入される可能性があり、XNUMX つは、信頼されていないコードがシステム権限で実行される可能性があります。
それに加えて、Ventura の権限昇格 (EoP) バグが 14 つリストされており、残りの XNUMX の非システム コード実行バグの一部、多く、またはすべてと組み合わせて使用され、攻撃チェーンを形成する可能性があると考えられます。ユーザーレベルのコード実行エクスプロイトをシステムレベルのものに変えます。
現実のリスクにさらされている iPhone と iPad
ただし、それはこの話の最も重要な部分ではありません。
「明白かつ現在の危険」賞は、 iOS および iPadOS、その 更新する バージョンへ 16.1 および 16 リストされているセキュリティ脆弱性の XNUMX つが、任意のアプリからのカーネル コードの実行を可能にし、すでに積極的に悪用されています。
要するに、iPhone と iPad はすぐにパッチを適用する必要があります。 カーネルゼロデイ.
Apple は、どのサイバー犯罪グループまたはスパイウェア企業がこのバグを悪用しているかを明らかにしていません。 CVE-2022-42827、しかし、iPhoneのゼロデイコマンドがサイバーアンダーワールドで動作するという高い代償を考えると、このエクスプロイトを所有している人は誰でも[a]それを効果的に機能させる方法を知っており、[b]自分で注意を引く可能性は低いと思います、既存の犠牲者を可能な限り暗闇に保つために。
Apple は、同社が 「この問題が積極的に悪用された可能性があるという報告を認識しています」、それだけです。
そのため、ご使用のデバイスに対する攻撃の兆候を確認する方法についてアドバイスを提供することはできません。いわゆる IoC (侵入の痕跡)、たとえば、バックアップ内の奇妙なファイル、予期しない構成の変更、または検索できる可能性のある異常なログ ファイル エントリなどです。
したがって、私たちの唯一の推奨事項は、早期にパッチを適用する/頻繁にパッチを適用することを通常促すことです。 設定 > > ソフトウェアの更新 選択 ダウンロードとインストール 修正プログラムをまだ受け取っていない場合。
キューの先頭にジャンプしてすぐに更新できるのに、デバイス自体が更新を見つけて提案するのを待つ必要はありません。
カタリナ落とした?
ご想像のとおり、Ventura のリリースにより macOS がバージョン 13 になったことを考えると、今回は 10 バージョン前の macOS XNUMX Catalina がリストに表示されません。
Apple は通常、macOS の以前および前々前のバージョンに対してのみセキュリティ アップデートを提供します。 macOS 11ビッグサー バージョンへ 11.7.1, macOS12モントレー バージョンへ 12.6.1.
ただし、これらのバージョンも 別の更新 として記載 サファリ16.1これは、Safari とその基盤となるソフトウェア ライブラリ WebKit のいくつかの危険なバグを修正します。
WebKit は Safari だけでなく、Apple の基盤となるコードに依存する他のアプリでも使用され、ヘルプ システム、バージョン情報画面、メッセージングでよく見られる組み込みの「ミニブラウザ」など、あらゆる種類の HTML ベースのコンテンツを表示することを忘れないでください。 HTML ファイル、ページ、またはメッセージを表示するオプションを提供するアプリ。
Apple watchOS および tvOS また、多数の修正を取得し、それらのバージョン番号を次のように更新します。 ウォッチ9.1 および tvOS 16.1 。
何をするか?
良いニュースは、Apple のベータ エコシステムの一部として、早期採用者とソフトウェア開発者だけが Ventura を既に実行している可能性が高いということです。
膨大な数のバグが修正されているため、これらのユーザーは、システムのリマインダーや自動更新が開始されるのを待たずに、できるだけ早く更新する必要があります。
Ventura を使用していないが、すぐにアップグレードする場合、新しいバージョンの最初のエクスペリエンスには、上記の 112 個の CVE パッチが自動的に含まれます。 アップグレード 必要なセキュリティが自動的に含まれます アップデート.
しばらくの間、以前のバージョンまたは前のバージョンの macOS を使い続けることを計画している場合 (または、私たちのように、アップグレードできない古い Mac をお持ちの場合)、XNUMX つの更新が必要であることを忘れないでください。 XNUMX つは Big Sur または Monterey に固有のもので、もう XNUMX つは両方のオペレーティング システムのフレーバーで同じ Safari のアップデートです。
要約すると:
- iOS または iPad OS では、 緊急に使用する 設定 > > ソフトウェアの更新
- macOSでは、 つかいます アップルメニュー > このMacについて > ソフトウェアの更新…
- macOS 13 ベンチュラ ベータ版 ユーザーはすぐにフル リリースに更新する必要があります。
- ビッグサーとモントレーのユーザー Ventura にアップグレードするユーザーは、macOS 13 のセキュリティ修正を同時に入手できます。
- macOS 11ビッグサー に行きます 11.7.1、およびニーズ サファリ16.1 同様に。
- macOS12モントレー に行きます 12.6.1、およびニーズ サファリ16.1 同様に。
- watchOS に行きます 9.1.
- tvOS に行きます 16.1.
macOS 10 Catalina は更新されないことに注意してください。これは、Catalina ユーザーにとって道の終わりであるためであり、サポートされているが、それ以降のバージョンで見つかったバグの影響を受けていないためではないと想定しています.
私たちが正しければ、Mac をアップグレードできない Catalina ユーザーは、ますます時代遅れになった Apple ソフトウェアを永遠に実行するか、デバイスでまだサポートされている Linux ディストリビューションなどの代替オペレーティング システムに切り替えることになります。
Apple のセキュリティ速報へのクイック リンク:
- APPLE-SA-2022-10-24-1: HT213489 iOS 16.1 および iPadOS 16 用
- APPLE-SA-2022-10-24-2: HT213488 macOS ベンチュラ 13 用
- APPLE-SA-2022-10-24-3: HT213494 macOS モントレー 12.6.1 用
- APPLE-SA-2022-10-24-4: HT213493 macOS Big Sur 11.7.1 用
- APPLE-SA-2022-10-24-5: HT213491 watchOS 9.1 の場合
- APPLE-SA-2022-10-24-6: HT213492 tvOS 16.1 の場合
- APPLE-SA-2022-10-24-7: HT213495 サファリ 16.1 の場合
