2021年5月24日(米国時間)、Appleから複数のセキュリティアドバイザリが公開されました。影響を受ける製品やバージョンについての詳細はAppleの各アドバイザリを参照いただき、影響範囲の確認と対策の実施をご検討ください。
Appleによると、Transparency Consent and Control(TCC)frameworkの脆弱性(CVE-2021-30713)およびWebKitの脆弱性(CVE-2021-30665、CVE-2021-30663)について、すでに悪用された可能性があるとのことです。TCC frameworkの脆弱性はmacOS Big Surが、WebKitの脆弱性はtvOSがそれぞれ影響を受けます。
TCC frameworkの脆弱性が悪用された場合、アプリケーションによってプライバシー設定を回避されることでユーザーの意図しない操作が実行される可能性があります。また、WebKitの脆弱性が悪用された場合、細工されたコンテンツが読み込まれることで任意のコードが実行される可能性があります。影響を受けるバージョンなどについての詳細は、Appleのアドバイザリ(HT212532、HT212529)を参照してください。
Apple
About the security content of Safari 14.1.1
https://support.apple.com/en-us/HT212534
Apple
About the security content of watchOS 7.5
https://support.apple.com/en-us/HT212533
Apple
About the security content of tvOS 14.6
https://support.apple.com/en-us/HT212532
Apple
About the security content of Security Update 2021-004 Mojave
https://support.apple.com/en-us/HT212531
Apple
About the security content of Security Update 2021-003 Catalina
https://support.apple.com/en-us/HT212530
Apple
About the security content of macOS Big Sur 11.4
https://support.apple.com/en-us/HT212529
Apple
About the security content of iOS 14.6 and iPadOS 14.6
https://support.apple.com/en-us/HT212528
また、JamfがTCC frameworkの脆弱性の悪用を確認したとして、ブログを公開しています。
Jamf
Zero-Day TCC bypass discovered in XCSSET malware
https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp