本日、iPhoneとMac用の新しいソフトウェアを「重要なバグ修正とセキュリティ更新」を含む形でリリースした直後、Appleは修正されたセキュリティの問題について詳細に説明しました

特に、Appleはこれらの脆弱性が実際に悪用されているとの報告を受け取っています、Appleはセキュリティ更新のページで、iOSとmacOSの両方に対して修正された2つの欠陥（同じもの）があることを明らかにしました

最初の欠陥は、IOSurfaceAcceleratorの問題で、アプリが「カーネル権限で任意のコードを実行する可能性がある」というものでした

二つ目は、WebKitの問題で、悪意のあるコードの処理が任意のコード実行につながる可能性がありました、両方の欠陥について、Appleは「この問題が積極的に悪用されているとの報告があることを認識している」と述べているため、安全のためにできるだけ早くこれらの更新をインストールしてください

詳細は以下の通りです

IOSurfaceAccelerator

• 対象デバイス：iPhone 8 以降、iPad Pro（全モデル）、iPad Air 第3世代以降、iPad 第5世代以降、および iPad mini 第5世代以降
• 影響：アプリがカーネル権限で任意のコードを実行する可能性があります。Appleは、この問題が現在活発に悪用されているとの報告を受け取っています
• 説明：範囲外の書き込み問題が、入力検証の改善により対処されました

CVE-2023-28206：Googleの脅威分析グループのClément Lecigneとアムネスティ・インターナショナルのセキュリティラボのDonncha Ó Cearbhaill

WebKit

• 対象デバイス：iPhone 8 以降、iPad Pro（全モデル）、iPad Air 第3世代以降、iPad 第5世代以降、および iPad mini 第5世代以降
• 影響：悪意のあるWebコンテンツを処理することで任意のコード実行が発生する可能性があります。Appleは、この問題が現在活発に悪用されているとの報告を受け取っています
• 説明：メモリの使用後解放問題が、メモリ管理の改善により解決されました

WebKit Bugzilla：254797
CVE-2023-28205：Googleの脅威分析グループのClément Lecigneとアムネスティ・インターナショナルのセキュリティラボのDonncha Ó Cearbhaill

(Via 9to5Mac.)