Apple、「macOS Ventura 13.5」などをリリース ～悪用を確認済みの脆弱性を修正

米Apple、「macOS Ventura 13.5」を正式公開

　米Appleは7月24日（現地時間）、「macOS Ventura 13.5」などをリリースした。不具合と脆弱性を修正したセキュリティアップデートで、すべてのユーザーに適用が推奨されている。

　今回のアップデートで修正された脆弱性は、CVE番号ベースで42件。「Apple Neural Engine」における任意コードの実行、「探す」アプリにおける位置情報の漏洩、カーネルで発見されたセキュリティ欠陥、「WebKit」の問題などが解決された。「curl」などのサードパーティーライブラリにおける修正も含まれている。

　なかでも特筆すべきは、「CVE-2023-38606」と「CVE-2023-37450」だ。

　「CVE-2023-38606」はカーネルのステート管理における欠陥で、アプリが本来アクセスできないはずのセンシティブなカーネル状態を変更できてしまうことがある。この問題は「iOS 15.7.1」より前にリリースされたiOSバージョンで実際に悪用された可能性が指摘されている。macOSには今のところ直接の関係はないが、警戒するに越したことはないだろう。

　もう一つの「CVE-2023-37450」は、「WebKit」における任意コード実行の問題。「iOS 16.6 (c)」で緊急対応されたもので、これも悪用が確認されている。

　「macOS Ventura」は以下のデバイスに対応しており、「システム設定」ダイアログの［一般］－［ソフトウェアアップデート］から無償でアップグレードが可能。

• iMac：2017以降
• Mac Pro：2019以降
• iMac Pro：2017
• Mac Studio：2022
• Mac mini：2018以降
• MacBook Air：2018以降
• MacBook：2017以降
• MacBook Pro：2017以降

　古いデバイス（おおむね2017年以前のもの）は「macOS Monterey」からアップデートできないので注意したい。

　なお、macOSの旧バージョンや「Safari」でもセキュリティアップデートがリリースされている。macOSには前述した「CVE-2023-38606」の修正が含まれているので注意したい。

• Safari 16.6（macOS Big Sur/Monterey）
• macOS Monterey 12.6.8
• macOS Big Sur 11.7.9