セキュリティ

SECURITY

公開：2024-12-22

【CVE-2024-44225】Appleが複数OSの特権昇格の脆弱性を修正、深刻度7.8の問題に対処

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Appleが複数OSの特権昇格の脆弱性に対処
• iPadOS、iOS、watchOS、tvOSなど7製品が対象
• CVSSスコア7.8の深刻度の高い脆弱性を修正

Appleの複数OSにおける特権昇格の脆弱性

AppleはiPadOS 17.7.3やiOS 18.2など複数のOSにおいて発見された特権昇格の脆弱性【CVE-2024-44225】を2024年12月11日に公開した。この脆弱性は論理的な問題に起因しており、アプリケーションが意図せず昇格した特権を取得する可能性があることが判明している。^[1]

この脆弱性はiPadOS 17.7.3、watchOS 11.2、tvOS 18.2、macOS Sequoia 15.2、iOS 18.2とiPadOS 18.2、macOS Ventura 13.7.2、macOS Sonoma 14.7.2の各バージョンで修正された。CISSのCVSSv3.1評価によると、深刻度は7.8（High）とされ、ローカルからの攻撃が可能で複雑性は低いとされている。

対象となるプラットフォームは幅広く、iOS、iPadOS、macOS、tvOS、watchOSの各OSバージョンが含まれている。脆弱性の影響を受けるバージョンはiOS/iPadOSでは18.2未満、macOSでは15.2未満、13.7未満、14.7未満、watchOSでは11.2未満、tvOSでは18.2未満となっている。

CVE-2024-44225の影響を受けるOSバージョン

特権昇格について

特権昇格とは、システムやアプリケーションが本来与えられている権限以上の権限を取得してしまう状態のことを指す。主な特徴として、以下のような点が挙げられる。

• 通常のユーザー権限から管理者権限への昇格が可能
• システムの重要な機能や情報へのアクセスが可能
• マルウェアによる攻撃の踏み台として悪用される可能性

AppleのCVE-2024-44225では、アプリケーションが意図せずに特権を昇格させる可能性のある論理的な問題が報告されている。この脆弱性はローカルからの攻撃が可能で、攻撃の複雑性は低いとされており、ユーザーの操作を必要とするものの、機密性や整合性、可用性に高い影響を与える可能性があるとされている。

Appleの複数OS脆弱性対応に関する考察

Appleが複数のOSプラットフォームで同時に脆弱性対策を実施したことは、セキュリティ管理の観点から評価できる対応である。特に特権昇格の脆弱性は、システム全体に影響を及ぼす可能性があるため、迅速な対応が求められる問題であり、各OSの最新バージョンでパッチが提供されたことは、ユーザーの安全性確保に大きく貢献するだろう。

しかし、今後も同様の論理的な問題に起因する脆弱性が発見される可能性は否定できない。特にOSの機能が複雑化し、相互に連携する機会が増える中で、権限管理の仕組みをより堅牢にする必要性が高まっており、開発段階からのセキュリティテストの強化が求められるだろう。

また、複数のOSバージョンが並行して運用される環境では、パッチ適用の優先順位付けや展開計画の策定が重要な課題となる。Appleには今後も継続的なセキュリティアップデートの提供と、より詳細な脆弱性情報の開示を期待したい。

参考サイト

1. ^ CVE. 「CVE-2024-44225 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-44225, (参照 24-12-22).
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧