アメリカ. サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー (CISA) 最近、悪用された既知の脆弱性に重大度の高い欠陥が追加されました (KEV) カタログ, さまざまな Apple デバイスに影響を与える, iOSを含む, iPadOS, マックOS, tvOS, とwatchOS.
CVE-2022-48618: 技術概要
CVE-2022-48618 として追跡され、CVSS スコアは次のとおりです。 7.8, 脆弱性の中心は カーネル コンポーネントのバグ, 深刻な脅威をもたらす.
Appleは状況の重大さを認めた, 任意の読み取りおよび書き込み機能を持つ攻撃者がポインタ認証をバイパスできる可能性があることを示しています。. Appleの勧告によると, この欠陥は、それ以前のバージョンの iOS で悪用された可能性があります。 15.7.1.
これに対抗するには, Apple はこの問題に対処するために強化されたチェックを迅速に実装しました. でも, 現実世界のシナリオで脆弱性がどのように悪用されるかの詳細は未公開のままです, 状況に謎の要素を加える.
興味深いことに, CVE-2022-48618 のパッチは 12 月に慎重にリリースされました 13, 2022, iOSのローンチに合わせて 16.2, iPadOS 16.2, macOS ベンチュラ 13.1, tvOS 16.2, とwatchOS 9.2. 驚くべきことに, この欠陥が一般に公開されたのは、1 年以上後の 1 月のことでした。 9, 2024.
この事件は、7 月に Apple が行った事前の決議を反映しています。 2022 同様の欠陥があったとき (CVE-2022-32844, CVSSスコア: 6.3) カーネルの問題は iOS のリリースで解決されました 15.6 およびiPadOS 15.6. 同社が明らかにしたのは、 “任意のカーネル読み取りおよび書き込み機能を持つアプリは、ポインター認証をバイパスできる可能性があります,” この問題は状態管理の改善により修正されました.
CVE-2022-48618 の積極的な悪用への対応, CISA は連邦文民行政府に緊急に勧告している。 (FCEB) 政府機関は 2 月までに修正を適用します 21, 2024. 危機感は、脆弱性に関連する潜在的なリスクを強調します.
状況がさらに複雑になる, Apple は、WebKit ブラウザ エンジンで積極的に悪用されている欠陥に対処しました (CVE-2024-23222, CVSSスコア: 8.8), 包括的な補償を確保する. この修正は、Apple Vision Pro ヘッドセットを含むように拡張されました。, ビジョンOSで利用可能 1.0.2.