Trusted DesignCVE-2023-41974 の詳細
CVEの情報
説明:
A use-after-free issue was addressed with improved memory management. This issue is fixed in iOS 17 and iPadOS 17. An app may be able to execute arbitrary code with kernel privileges.
CVE更新日: 2024-01-10 22:15:49.240000
CVSSバージョン: 3.1
CVSSスコア: 7.8
KEVの情報
KEV更新日: 2026-03-05
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.002170000
EPSS更新日: 2026-06-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2023-41974に関する脆弱性の調査結果を以下に解説します。
1. 脆弱性の概要
CVE-2023-41974は、Apple iOSおよびiPadOSに影響を与えるUse-after-freeの脆弱性です。不適切なメモリ管理に起因し、アプリケーションがカーネル権限で任意のコードを実行できる可能性があります。
1.1 影響
本脆弱性が悪用された場合、組織の機密性、完全性、可用性に深刻な影響を与える可能性があります。 攻撃者は、影響を受けるデバイスに対して不正アクセスや制御を行い、カーネル特権で任意のコードを実行することが可能になります。 これにより、データ損失、データ漏洩、金銭的損失、またはサービス運用妨害 (DoS) につながる可能性があります。
1.2 深刻度
本脆弱性の深刻度は「高 (High severity)」に分類されています。 CVSSv3スコアは7.8 (重要) と評価されています。 CISA (Cybersecurity and Infrastructure Security Agency) のKnown Exploited Vulnerabilities (KEV) カタログに登録されており、実際に悪用された実績があることが示されています。 また、本脆弱性のProof-of-Concept (PoC) エクスプロイトコードが公開されています。
2. 対象となる環境
本脆弱性は、Apple iOSおよびiPadOSが対象です。
2.1 影響を受けるOSバージョン
2.2 影響を受ける設定
影響を受ける特定の設定については、現在公開されている情報からは不明です。
3. 影響を受けた時の兆候
本脆弱性が悪用され、影響を受けた際の具体的な兆候については、現在公開されている情報からは不明です。しかし、カーネル特権で任意のコードが実行される可能性があるため、システムの異常な動作、予期しないクラッシュ、パフォーマンスの低下などが考えられます。
4. 推奨対策
4.1 本対策
Appleは、改善されたメモリ管理によってUse-after-freeの問題に対処しました。 以下の最新バージョンへのアップデートが推奨されます。 * iOS 17およびiPadOS 17への更新 * iOS 15.8.7およびiPadOS 15.8.7への更新(iOS 17およびiPadOS 17に更新できないデバイス向け) * macOS 13については、最新バージョンへの更新が推奨されます。
4.2 暫定回避策(緩和策)
具体的な暫定回避策については、現在公開されている情報からは不明です。CISAは、ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止することを推奨しています。 PoCが公開されており、悪用されている可能性があるため、速やかなパッチ適用が最も重要です。
他に解説すべき観点
参照したサイト