本日は NVD から 200件 の CVE メタデータ更新 を 確認 しました。すべて 2024年 に 公開 された Apple 製品 の 脆弱性 で、NVD での スコア・メタデータ 更新 が 中心 です。Critical(9.0+)は 0件 ですが High(7.0-8.9)が 65件 あり、うち 3件 は 悪用 が 確認 されて いる CVE です。OSV・GHSA の 新規更新 は 0件。MyJVN では 富士電機 V-SFT の 脆弱性 が 報告 されて います。
本日の概要
| 指標 | 数値 |
|---|---|
| 分析CVE | 200件 |
| Critical (9.0+) | 0件 |
| High (7.0-8.9) | 65件 |
| Medium (4.0-6.9) | 103件 |
| Low (~3.9) | 32件 |
| GHSA更新 | 0件 |
| OSV更新 | 0件 |
| JVN更新 | 2件 |
Critical / High 脆弱性の詳細
本日の NVD 更新分 は すべて 2024年 に 公開 済み の Apple 製品 脆弱性 です。新規 発見 では なく NVD メタデータ の 更新 です が、悪用 確認 済み の 3件 は 未対応 の 場合 に 改めて 確認 を 推奨 します。
悪用が確認されているCVE
以下 の 3件 は Apple が 「悪用 の 報告 を 認識 して いる」と 公表 した CVE です。古い バージョン の iOS / macOS を 利用 して いる 場合 は 特に 注意 が 必要 です。
| CVE ID | 脆弱性種別 | CVSS | 影響 |
|---|---|---|---|
| CVE-2024-23222 | WebKit 型混乱 | 8.8 | 任意コード実行 |
| CVE-2024-23225 | カーネルメモリ破壊 | 7.8 | カーネルメモリ保護バイパス |
| CVE-2024-23296 | RTKit メモリ破壊 | 7.8 | カーネルメモリ保護バイパス |
CVE-2024-23222 — WebKit 型混乱(悪用確認済み)
- CVSS スコア: 8.8(High)
- CWE: CWE-843(型混乱)
- 影響: Safari 17.3 未満、iOS 17.3 / 16.7.5 / 15.8.7 未満、macOS Sonoma 14.3 / Ventura 13.6.4 / Monterey 12.7.3 未満 ほか
- 初回公開: 2024年1月23日
WebKit の 型混乱 脆弱性 で、悪意 の ある Web コンテンツ を 処理 する こと で 任意 の コード が 実行 される 可能性 が あります。Apple は 本件 の 悪用 報告 を 認識 して おり、「Coruna エクスプロイト」に 関連 する 修正 です。対象 バージョン の デバイス を 利用 中 の 場合 は アップデート を 推奨 します。
- 参考: NVD
CVE-2024-23225 — カーネルメモリ破壊(悪用確認済み)
- CVSS スコア: 7.8(High)
- CWE: CWE-787(境界外書き込み)
- 影響: iOS 17.4 / 16.7.6 未満、macOS Sonoma 14.4 / Ventura 13.6.5 / Monterey 12.7.4 未満 ほか
- 初回公開: 2024年3月5日
カーネル の メモリ破壊 脆弱性 です。任意 の カーネル 読み書き 権限 を 持つ 攻撃者 が カーネル メモリ 保護 を バイパス できる 可能性 が あります。Apple は 悪用 の 報告 を 認識 して います。
- 参考: NVD
CVE-2024-23296 — RTKit メモリ破壊(悪用確認済み)
- CVSS スコア: 7.8(High)
- CWE: CWE-787(境界外書き込み)
- 影響: iOS 17.4 / 16.7.8 未満、macOS Sonoma 14.4 / Ventura 13.6.7 / Monterey 12.7.6 未満 ほか
- 初回公開: 2024年3月5日
CVE-2024-23225 と 同様 の カーネル メモリ破壊 脆弱性 で、RTKit コンポーネント に 存在 します。こちら も 悪用 が 確認 されて います。
- 参考: NVD
WebKit 関連 — High(CVSS 8.8)主要 CVE
| CVE ID | 脆弱性種別 | CVSS | 修正バージョン |
|---|---|---|---|
| CVE-2024-23213 | メモリハンドリング不備 | 8.8 | Safari 17.3 / iOS 17.3 |
| CVE-2024-23214 | 複数メモリ破壊 | 8.8 | iOS 17.3 / 16.7.5 |
| CVE-2024-27808 | メモリハンドリング不備 | 8.8 | Safari 17.5 / iOS 17.5 |
| CVE-2024-27833 | 整数オーバーフロー | 8.8 | Safari 17.5 / iOS 17.5 |
| CVE-2024-27851 | 境界チェック不備 | 8.8 | Safari 17.5 / iOS 17.5 |
| CVE-2024-23209 | メモリハンドリング不備 | 8.8 | macOS Sonoma 14.3 |
いずれ も Web コンテンツ の 処理 を 通じて 任意 コード 実行 に 至る 可能性 の ある 脆弱性 です。Safari や WebKit を 利用 する すべて の Apple 製品 が 対象 と なります。
サンドボックスエスケープ — High(CVSS 8.6)
| CVE ID | 脆弱性種別 | CVSS | 影響 |
|---|---|---|---|
| CVE-2024-0258 | メモリハンドリング不備 | 8.6 | サンドボックス外コード実行 |
| CVE-2024-23246 | 入力検証不備 | 8.6 | サンドボックスエスケープ |
| CVE-2024-23278 | コードインジェクション | 8.6 | サンドボックスエスケープ |
| CVE-2024-27813 | チェック不備 | 8.6 | サンドボックス外コード実行 |
| CVE-2024-23299 | 権限昇格 | 8.6 | サンドボックスエスケープ |
アプリ が サンドボックス を 突破 して 権限 昇格 する 脆弱性 群 です。macOS Sonoma 14.4 以降 で 修正 されて います。
CWE 分布(High 65件)
| CWE | 種別 | 件数 |
|---|---|---|
| CWE-787 | 境界外書き込み | 14件 |
| CWE-119 | バッファエラー | 7件 |
| CWE-94 | コードインジェクション | 4件 |
| CWE-277 | 権限設定不備 | 4件 |
| CWE-269 | 不適切な権限管理 | 4件 |
| CWE-284 | アクセス制御不備 | 3件 |
| CWE-125 | 境界外読み取り | 3件 |
メモリ 関連(CWE-787 / CWE-119)が 上位 を 占めて おり、Apple 製品 に 典型的 な パターン です。
JVN 日本語情報
JVNDB-2026-009720 — 富士電機製 V-SFT における複数の脆弱性
- CVE: CVE-2026-32929
- CVSS スコア: 7.8(High)
- 公開日: 2026年4月2日
富士電機 の SCADA ソフトウェア V-SFT に スタックベース の バッファオーバーフロー(CWE-121)と 境界外読み取り(CWE-125)の 脆弱性 が 報告 されて います。産業制御系 を 運用 して いる 場合 は JVN の 詳細 を 確認 して ください。
JVNDB-2026-009721 — CISA ICS Advisory(2026年3月31日)
CISA が ICS Advisory 2件 を 新規 公開 しました:
- ICSA-26-090-01: Anritsu Remote Spectrum Monitor
- ICSA-26-090-02: PX4 Autopilot
また Mitsubishi Electric 関連 の Advisory 1件 が 更新 されて います。ICS / OT 環境 を 運用 する 場合 は CISA の 公式 ページ を 確認 して ください。
まとめ
本日 の NVD 更新 は 2024年 公開 の Apple CVE メタデータ 一斉更新 が 中心 です。新規 脆弱性 では ありません が、悪用 が 確認 済み の CVE-2024-23222 / 23225 / 23296 の 3件 は 改めて 注目 に 値 します。古い バージョン の iOS / macOS を 使い続けて いる 環境 が ある 場合 は、パッチ 適用 状況 を 確認 して ください。
また、富士電機 V-SFT(CVE-2026-32929)は CVSS 7.8 の 新規 脆弱性 です。産業制御系 の 運用 者 は 対応 を 検討 して ください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。