Apple、Google、Microsoftのセキュリティ修正にとって、ゼロデイ問題の夏が熱い
さらに、Mozilla は Firefox の重大度の高いバグ 2 件を修正し、Citrix は米国を拠点とする重要なインフラストラクチャ組織への攻撃に使用された欠陥を修正し、Oracle は 500 件を超える脆弱性を修正しました。
イラスト:WIREDスタッフ
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
夏のパッチサイクルは減速の兆しを見せておらず、テクノロジー大手のApple、Google、Microsoftは、実際の攻撃で使用されている脆弱性を修正する複数のアップデートをリリースしました。7月には、エンタープライズソフトウェア企業のSAP、Citrix、Oracleも深刻なバグを修正しました。
今月リリースされた主要なパッチについて知っておくべきすべての情報をここに示します。
Apple iOS および iPadOS 16.6
Appleは7月に2つのセキュリティアップデートをリリースし、多忙な月となった。最初のアップデートは、セキュリティ対策のみを目的とした「Rapid Security Response」パッチだった。
AppleがRapid Security Responseを発行したのは今回で2回目であり、そのプロセスは1回目ほどスムーズではありませんでした。7月10日、Appleは既に攻撃に利用されていたWebKitの脆弱性を修正するためにiOS 16.5.1 9 (a)をリリースしましたが、このパッチによって複数のウェブサイトがユーザーにとって利用不能になったことが判明し、Appleはすぐにそれを撤回しました。Appleは数日後、iOS 16.5.1 (c)としてアップデートを再リリースし、ようやくWebKitの問題を修正しましたが、他の脆弱性は修正されませんでした。
同月後半には、Apple のメジャーアップグレード iOS 16.6 が、iOS 16.5.1 (c) で修正された、CVE-2023-37450 として追跡されている、すでに悪用されている WebKit のバグを含む 25 件のセキュリティ修正とともに登場しました。
iOS 16.6で修正された他のバグの中には、iOSオペレーティングシステムの中核を成すカーネルに存在する11個のバグが含まれており、Appleによると、そのうちの1つは既に攻撃に利用されているとのことです。このカーネルの脆弱性は、セキュリティ企業カスペルスキーがゼロクリック攻撃「三角測量スパイウェア」の一環として発見した3番目のiOSの脆弱性となります。
Appleは、古いデバイスのユーザー向けにiOS 15.7.8をリリースしたほか、iPadOS 16.6、Safari 16.6、macOS Ventura 13.5、macOS Monterey 12.6.8、macOS Big Sur 11.7.9、tvOS 16.6、watchOS 9.6もリリースした。
マイクロソフト
マイクロソフトの7月の月例パッチは、複数のゼロデイ脆弱性を含む132件の脆弱性を修正するため、注目すべきアップデートです。まず最初に、パッチアップデートで詳細が報告されているバグの1つ(CVE-2023-36884)はまだ修正されていません。一方、マイクロソフトは、ロシアのサイバー犯罪集団による攻撃で悪用されたとみられる、既に悪用されている脆弱性を軽減するための対策を発表しました。
マイクロソフトの月例パッチに含まれるその他のゼロデイ脆弱性には、WindowsコアコンポーネントMSHTMLにおけるプラットフォーム権限昇格の脆弱性(CVE-2023-32046)と、Windowsエラー報告サービスにおける脆弱性(CVE-2023-36874)があり、攻撃者が管理者権限を取得する可能性があります。一方、Windows SmartScreen機能における脆弱性(CVE-2023-32049)は、既に悪用が確認されています。
言うまでもなく、CVE-2023-36884 の修正に注目しながら、できるだけ早くアップデートする必要があります。
グーグルアンドロイド
GoogleはAndroidオペレーティングシステムをアップデートし、数十のセキュリティ脆弱性を修正した。その中には「限定的かつ標的を絞った悪用の可能性がある」とされる3つの脆弱性も含まれている。
すでに悪用されている脆弱性の1つ目は、CVSSスコア9.6のシステムにおけるリモートコード実行(RCE)バグであるCVE-2023-2136です。この重大なセキュリティ脆弱性は、追加の権限を必要とせずにRCEを引き起こす可能性があるとGoogleは述べています。「悪用にはユーザーの操作は必要ありません」とGoogleは警告しています。
CVE-2023-26083は、Bifrost、Avalon、Valhallチップ用のArm Mali GPUドライバにおける脆弱性で、影響度は中程度と評価されています。この脆弱性は、2022年12月にSamsungデバイスにスパイウェアを配信するために悪用されました。
CVE-2021-29256 は、Bifrost および Midgard Arm Mali GPU カーネル ドライバーにも影響を与える、重大度の高い脆弱性です。
Androidアップデートは、GoogleのPixelデバイスとSamsungのGalaxyシリーズの一部にすでに適用されています。今月のバグの深刻さを考えると、アップデートが利用可能かどうかを確認し、今すぐインストールすることをお勧めします。
グーグルクローム115
Googleは、人気ブラウザChromeのアップデート115をリリースし、20件のセキュリティ脆弱性を修正しました。そのうち4件は影響度が高いと評価されています。CVE-2023-3727とCVE-2023-3728は、WebRTCにおけるメモリ使用後の脆弱性です。深刻度が高いと評価された3つ目の脆弱性は、タブグループにおけるメモリ使用後の脆弱性であるCVE-2023-3730です。また、CVE-2023-3732は、Mojoにおける境界外メモリアクセスの脆弱性です。
脆弱性のうち6件は中程度の深刻度に分類されており、実際の攻撃で悪用された脆弱性は確認されていません。しかしながら、Chromeは標的型攻撃の標的になりやすいプラットフォームであるため、システムのアップデートをご確認ください。
ファイアフォックス 115
Chrome 115のリリースに続き、ライバルブラウザのMozillaもFirefox 115をリリースし、深刻度の高い脆弱性をいくつか修正しました。これらの脆弱性の中には、CVE-2023-37201とCVE-2023-37202として追跡されている2つのメモリ使用後の脆弱性が含まれています。
プライバシーに配慮したブラウザメーカーであるMozillaは、CVE-2023-37212およびCVE-2023-37211として追跡されている2つのメモリ安全性のバグも修正しました。Mozillaはアドバイザリの中で、これらのメモリ安全性の欠陥はFirefox 114、Firefox ESR 102.12、およびThunderbird 102.12に存在すると述べ、さらに次のように付け加えています。「これらのバグの中にはメモリ破損の兆候が見られるものもあり、十分な対策を講じれば、これらのバグの一部は任意のコード実行に悪用される可能性があったと推定されます。」
シトリックス
エンタープライズソフトウェア大手のCitrixは、NetScaler ADC(旧Citrix ADC)およびNetScaler Gateway(旧Citrix Gateway)ツールの複数の欠陥を修正した後、アップデートの警告を発しました。そのうちの1つは、すでに攻撃に使用されています。
CVE-2023-3519として追跡されているこの脆弱性は、NetScaler ADCおよびNetScaler Gatewayに存在する、認証されていないリモートコード実行の脆弱性であり、既に悪用されています。その深刻度はCVSSスコア9.8と高くなっています。Citrixは、「緩和策を講じていないアプライアンスにおけるCVE-2023-3519の悪用が確認されています」と述べています。「Cloud Software Groupは、影響を受けるNetScaler ADCおよびNetScaler Gatewayのお客様に対し、関連する更新バージョンをできるだけ早くインストールすることを強く推奨します。」
この欠陥は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の勧告の対象でもあり、同庁は6月に重要インフラ組織への攻撃でこのバグが悪用されたと警告した。
SAP
エンタープライズソフトウェア企業であるSAPも、7月のセキュリティパッチデーを公開しました。この中には16件のセキュリティ修正が含まれています。最も深刻な脆弱性は、CVSSスコア9.1のOSコマンドインジェクション脆弱性であるCVE-2023-36922です。
セキュリティ企業Onapsisは、このバグにより、認証された攻撃者が「脆弱なトランザクションやプログラムに任意のオペレーティングシステムコマンドを挿入」できる可能性があると述べている。「この脆弱性の悪用が成功すると、影響を受けるSAPシステムの機密性、整合性、および可用性に重大な影響を与えるため、パッチの適用を強く推奨します」と警告している。
一方、CVE-2023-33989 は CVSS スコア 8.7 の SAP NetWeaver のディレクトリ トラバーサルの脆弱性であり、CVE-2023-33987 は CVSS スコア 8.6 の SAP Web Dispatcher のリクエスト スマグリングおよびリクエスト連結の脆弱性です。
オラクル
ソフトウェア企業のOracleは、7月の重要なパッチアップデート・アドバイザリを公開し、同社製品の508件の脆弱性を修正しました。修正には、Oracle Communications向けの77件の新しいセキュリティパッチが含まれています。Oracleは、これらの脆弱性のうち57件は、ユーザーの認証情報なしでネットワーク経由でリモートから悪用される可能性があると警告しています。最も深刻な脆弱性の一つはCVE-2023-20862で、CVSSスコアは9.8となっています。
一方、Oracle のパッチのうち 147 件は金融サービス向けであり、Fusion MiddleWide には 60 件の修正が適用されました。
オラクル社は、既にパッチを適用済みの脆弱性を悪用しようとする試みが引き続き報告されていると述べた。一部のケースでは、標的となった顧客が利用可能なオラクルのパッチを適用していなかったために攻撃が成功したとオラクル社は述べている。「そのため、オラクル社は、お客様には引き続き有効なサポート対象バージョンを使用し、クリティカル・パッチ・アップデートのセキュリティパッチを遅滞なく適用することを強く推奨します。」
