米Appleは7月24日(現地時間)、「macOS Ventura 13.5」などをリリースした。不具合と脆弱性を修正したセキュリティアップデートで、すべてのユーザーに適用が推奨されている。
今回のアップデートで修正された脆弱性は、CVE番号ベースで42件。「Apple Neural Engine」における任意コードの実行、「探す」アプリにおける位置情報の漏洩、カーネルで発見されたセキュリティ欠陥、「WebKit」の問題などが解決された。「curl」などのサードパーティーライブラリにおける修正も含まれている。
なかでも特筆すべきは、「CVE-2023-38606」と「CVE-2023-37450」だ。
「CVE-2023-38606」はカーネルのステート管理における欠陥で、アプリが本来アクセスできないはずのセンシティブなカーネル状態を変更できてしまうことがある。この問題は「iOS 15.7.1」より前にリリースされたiOSバージョンで実際に悪用された可能性が指摘されている。macOSには今のところ直接の関係はないが、警戒するに越したことはないだろう。
もう一つの「CVE-2023-37450」は、「WebKit」における任意コード実行の問題。「iOS 16.6 (c)」で緊急対応されたもので、これも悪用が確認されている。
「macOS Ventura」は以下のデバイスに対応しており、「システム設定」ダイアログの[一般]-[ソフトウェアアップデート]から無償でアップグレードが可能。
- iMac:2017以降
- Mac Pro:2019以降
- iMac Pro:2017
- Mac Studio:2022
- Mac mini:2018以降
- MacBook Air:2018以降
- MacBook:2017以降
- MacBook Pro:2017以降
古いデバイス(おおむね2017年以前のもの)は「macOS Monterey」からアップデートできないので注意したい。
なお、macOSの旧バージョンや「Safari」でもセキュリティアップデートがリリースされている。macOSには前述した「CVE-2023-38606」の修正が含まれているので注意したい。
からの記事と詳細 ( Apple、「macOS Ventura 13.5」などをリリース ~悪用を確認済みの脆弱性を修正/すべてのユーザーに適用が推奨 - 窓の杜 )
https://ift.tt/D5BdRoS
科学&テクノロジー
No comments:
Post a Comment