MacやiPhoneをはじめとするスマートデバイスなど、Apple製品のOSにゼロデイ脆弱性が見つかった問題で、米当局は注意喚起を行った。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は2025年1月29日、「悪用が確認された脆弱性カタログ(KEV)」を更新し、脆弱性「CVE-2025-24085」を追加したもの。行政機関へ対応を促すとともに、広く注意を呼びかけた。
同脆弱性は、「macOS」や「iOS」をはじめとする同社スマートデバイス向けOSに含まれる「CoreMedia」に判明した解放後のメモリを使用する脆弱性。悪意のあるアプリケーションにより権限の昇格が可能となる。
CISAは、共通脆弱性評価システム「CVSSv3.1」における同脆弱性のベーススコアを「7.3」と評価。米国立標準技術研究所(NIST)の脆弱性データベース「NVD」は「7.8」としており、いずれも重要度を「高(High)」とレーティングしている。
Appleは、同月27日に公開したセキュリティアドバイザリで、「macOS Sequoia 15.3」をはじめ、「iOS 18.3」「iPadOS 18.3」「watchOS 11.3」「tvOS 18.3」「visionOS 2.3」で同脆弱性に対処したことを公表。
またアドバイザリでは、「iOS 17.2」より以前のバージョンに対して、同脆弱性が悪用されている可能性があることを報告していた。
(Security NEXT – 2025/01/30 )
ツイート
関連リンク
CISA:Known Exploited Vulnerabilities Catalog
米サイバーセキュリティインフラストラクチャセキュリティ庁
PR
関連記事
NVIDIAの「GPUドライバ」や「vGPUソフト」に複数の脆弱性
「TeamViewer」のWindowsクライアントに権限昇格の脆弱性
「Chrome」にアップデート、「Use After Free」の脆弱性を修正
「VMware Avi Load Balancer」にブラインドSQLi脆弱性
キヤノンのスモールオフィス向け複合機に深刻な脆弱性
「Microsoft Edge」にアップデート – 脆弱性3件を解消
Apple、「iOS 18.3」を公開 – ゼロデイ脆弱性などへ対応
「Apache Solr」に複数の脆弱性 – アップデートで修正
ゼロデイ脆弱性に対応した「macOS Sequoia 15.3」など公開 – Apple
Chrome機能拡張「EXIF Viewer」の脆弱性 – 数年越しの調整
WACOCA: People, Life, Style.