セキュリティエンジニアが気になったニュースまとめ 2023/7/24～7/30

1 「iOS 16.6」が公開に、ゼロデイ脆弱性を修正 – 旧端末向けにも
2 Apple、Mac向けにゼロデイ脆弱性を修正するアップデート
3 「OpenSSH」に脆弱性、アップデートがリリース
4 Windows版「ウイルスバスタークラウド」に脆弱性 – 自動更新で対応

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2023/7/25

「iOS 16.6」が公開に、ゼロデイ脆弱性を修正 – 旧端末向けにも

「同16.6」では、あわせて25件の脆弱性に対処した。カーネルに関する11件の脆弱性や「WebKit」に関連する8件、「Apple Neural Engine」や「Find My」に判明した脆弱性などへ対処している。

その他に、「WebKit」のゼロデイ脆弱性「CVE-2023-37450」と、カーネルの脆弱性「CVE-2023-38606」の修正が含まれています。なお、カーネルの脆弱性については「iOS 15.7.1」より以前のバージョンを標的としたゼロデイ攻撃が行われた可能性があるとのこと。
加えて「iPhone 6s」などの旧端末向けにも最新バージョンが公開されており、「CVE-2023-38606」を含む11件の脆弱性に対応しています。

・参考情報
iOS 16.6 および iPadOS 16.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213841

iOS 15.7.8 および iPadOS 15.7.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213842

2023/7/25

Apple、Mac向けにゼロデイ脆弱性を修正するアップデート

https://www.security-next.com/148133

Appleは、Mac向けに最新OS「macOS Ventura 13.5」「macOS Monterey 12.6.8」「macOS Big Sur 11.7.9」をリリースした。すでに悪用済みの脆弱性などへ対処している。

それぞれのOSにて、多数の脆弱性が解消されており、「macOS Ventura 13.5」では42件、「Monterey 12.6.8」にて22件、「Big Sur 11.7.9」では18件の脆弱性に対応しています。

・参考情報
macOS Ventura 13.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213843

macOS Monterey 12.6.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213844

macOS Big Sur 11.7.9 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213845

2023/7/26

「OpenSSH」に脆弱性、アップデートがリリース

https://www.security-next.com/148143

「OpenSSH」に脆弱性が明らかとなった。特定の条件が重なるとリモートよりコードの実行が可能になるとしており、「OpenSSH」の開発チームは、脆弱性を修正したアップデートを提供している。
過去に修正された「CVE-2016-10009」の修正が不十分だったことに由来する脆弱性「CVE-2023-38408」が明らかとなったもの。

同脆弱性を修正した「OpenSSH 9.3p2」がリリースされていますので、公式情報を確認の上、アップデートすることを推奨します。

・参考情報
OpenSSH Security
https://www.openssh.com/security.html

release notes
https://www.openssh.com/txt/release-9.3p2

NIST CVE-2023-38408 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-38408

2023/7/26