iOS16.6.1でスパイウェアPegasusに悪用された脆弱性が修正

 
Appleが2023年9月8日未明にリリースしたiOS16.6.1およびiPadOS16.6.1において、スパイウェア「Pegasus」に悪用されていた脆弱性が修正されました。
 
iOS16.6.1およびiPadOS16.6.1のリリースノートには「このアップデートには重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます」とあり、今回のアップデートでは新機能の追加はなく、セキュリティ修正のみが行われていることがわかります。

■3行で分かる、この記事のポイント
1. iOS16.6.1では、スパイウェアPegasusに悪用されていた脆弱性が修正された。
2. この脆弱性を発見、報告したのはCitizen Lab。
3. イスラエル企業NSO GroupがPegasusを開発、販売している。

ゼロクリック脆弱性が修正

そしてiOS16.6.1およびiPadOS16.6.1では、イスラエル企業NSO Groupが開発したスパイウェアPegasusが悪用していたゼロクリック脆弱性が修正されていることが判明しました。
 
この脆弱性を発見したのはCitizen Labの研究者です。

Citizen Labが脆弱性を発見

Citizen Labのブログには、iOS16.6ではこの脆弱性を突いた攻撃が可能であること、また実際にPegasusがこのゼロクリック脆弱性を悪用していたことが記されています。
 
Citizen Labは脆弱性を発見後ただちにAppleに報告、Appleがさらなる調査、修正を行うのに協力したとのことです。
 
AppleのiOS16.6.1およびiPadOS16.6.1のセキュリティコンテンツに関する解説ページには、Citizen Labの協力があったことが記されています。

Appleは2021年にPegasusの開発元を提訴

PegasusとはiOSおよびAndroidデバイスユーザーを攻撃、監視するスパイウェアで、ジャーナリストや活動家などのハッキングや監視に使われているとして物議を醸しています。
 
AppleはPegasusを開発、販売しているNSO Groupを、2021年11月に提訴しています。

 
 
Source:Citizen Lab via TechCrunch, Apple
(lunatic)