リモートアタッカーは短いX-Wing HPKEカプセル化キーを供給し、Cデカプセル化パスで境界外読み込みを引き起こす可能性があります。これにより、ランタイム保護に応じてクラッシュやメモリ情報の開示が発生する可能性があります。

macOSにおけるCVE-2026-28815は、swift-cryptoライブラリ内のHPKE（Hybrid Public Key Encryption）カプセル化キーの処理に影響を与えます。悪意のある攻撃者は、短いHPKEカプセル化キーを提供することで、Cのデカプセル化パス中にバッファオーバーリードを引き起こす可能性があります。これにより、実行時保護の状態によっては、システムクラッシュやメモリ情報の漏洩が発生する可能性があります。この脆弱性の深刻度は、攻撃者がキー入力を制御できる能力と、保護されているデータの機密性によって異なります。堅牢な入力検証は、暗号化実装において重要です。

Applications and systems utilizing Swift Crypto versions 4.0.0 through 4.3.1 are at risk. This includes Swift-based applications that rely on HPKE for secure key exchange, particularly those handling external data or user-supplied input that could be crafted to trigger the vulnerability.

• swift / compiler: Examine compiler logs for errors related to memory access violations during HPKE decapsulation. • swift / runtime: Monitor runtime crash reports for signals related to memory access errors, particularly when handling X-Wing HPKE keys. • generic web: If Swift Crypto is used in a web application, monitor web server error logs for crashes or exceptions related to the cryptographic library.

1. 2026-04-03Disclosure

   disclosure

1. 予約済み2026-03-03
2. 公開日2026-04-03
3. EPSS 更新日2026-04-10

この脆弱性の修正方法は、swift-cryptoライブラリをバージョン4.3.1以降にアップデートすることです。Appleは、macOSオペレーティングシステムのアップデートの一部として、このアップデートをリリースしています。リスクを軽減するために、ユーザーはシステムを最新の利用可能なバージョンにアップデートすることを強くお勧めします。このアップデートは、カプセル化されたHPKEキーの処理を修正し、バッファオーバーリードを防ぎます。システム環境設定 > ソフトウェアアップデートからアップデートを確認してください。アップデートは無料で、すべてのユーザーに推奨されます。macOSを定期的にアップデートすることは、システムセキュリティを維持するために不可欠です。