iOS16.1が配信開始！「iCloud共有写真ライブラリ」などの新機能追加と不具合や脆弱性の修正など、ゼロデイ脆弱性も修正されているので早急にアップデートの適用を

本日AppleがiOS16.1の配信を開始しました。iPad向けに「iPadOS 16」の配信も開始されています。

今回のiOS16.1では、個々のライブラリで写真とビデオを最大5人とシームレスに共有可能となる待望の新機能「iCloud共有写真ライブラリ」が追加された他、iPhone 14 Pro向けのライブアクティビティが他社製アプリにも開放されたり、新しいスマートホーム接続規格「Matter」に対応するなど、いくつかの新機能が追加されています。

また、iPhoneの不具合や脆弱性の修正も行われています。中でもCVE-2022-42827は既に悪用の事実のあるゼロデイ脆弱性となっており、早急な対応が必要です。

iOS16.1は新機能の追加や不具合の改善だけでなく脆弱性も修正されているので、iPhoneユーザーは速やかにアップデートを適用しておきましょう。

なお、Apple Watch向けに「watchOS 9.1」が、Mac向けに「macOS Big Sur 11.7.1」などが、Apple TV向けに「tvOS 16.1」が配信されています。利用中のユーザーは併せてアップデートしておきましょう。

iOS16.1のアップデート内容

iOS16.1のアップデート内容は以下の通りです。

iCloud共有写真ライブラリ

個々のライブラリで写真とビデオを最大5人とシームレスに共有可能
ライブラリの設定時または参加時に、開始日や写真に写っている人をもとにして共有ライブラリに追加する写真を簡単に選択可能
ライブラリのフィルタ機能により、共有ライブラリ、個人用ライブラリ、または両方のライブラリの表示を素早く切り替えることが可能
編集や許可の共有により、参加者全員が写真の追加、編集、お気に入りへの追加、キャプションの追加、削除の操作が可能
“カメラ”で共有設定を切り替えることで、撮影した写真をそのまま共有ライブラリに追加するか、Bluetoothでほかの参加者が近くにいることが検出されたときに自動で共有する設定を有効にするかを選択可能

ライブアクティビティ

他社製AppのライブアクティビティをiPhone 14 ProモデルのDynamic Islandやロック画面に表示可能

ウォレット

メッセージやWhatsAppなどのメッセージ用Appを使って車やホテルの部屋などのキーをウォレットで安全に共有可能

ホーム

新しいスマートホーム接続規格、Matterに対応し、さまざまなホームアクセサリをエコシステム間で連携させることが可能

ブック

読書を始めるとリーダーコントロールが自動的に非表示に

その他

このアップデートにはiPhone用のバグ修正も含まれます:

削除済みのチャットが“メッセージ”のチャットリストに表示されることがある問題
簡易アクセスの使用時にDynamic Islandのコンテンツが表示されない問題
VPN Appの使用中にCarPlayを接続できないことがある問題
VoiceOverを使って日本語キーボードで入力しているときに音声フィードバックが途切れることがある問題

一部の機能は、地域やAppleデバイスによっては使用できない場合があります。Appleソフトウェア・アップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください：
https://support.apple.com/ja-jp/HT201222

iOS16.1：セキュリティアップデートの内容

iOS16.1では、以下の脆弱性が修正されています。

AppleMobileFileIntegrity

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：アプリが、ファイルシステムの保護された部分を変更できる可能性がある。
説明：この問題は、追加の資格を削除することで解決されました。
CVE-2022-42825: Mickey Jin (@patch1t)

AVEVideoEncoder

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明: この問題は、境界チェックを改善することで解決されました。
CVE-2022-32940: ABC Research sro

CFNetwork

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：悪意を持って作成された証明書を処理すると、任意のコードが実行される可能性がある。
説明：WKWebView の処理に、証明書の検証の問題が存在しました。この問題は、検証を改善することで対処しました。
CVE-2022-42813: Open Computing Facility の Jonathan Zhang (ocf.berkeley.edu)

コア Bluetooth

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：AirPods を接続した状態で音声を録音できるようになる可能性がある。
説明: この問題は、エンタイトルメントを改善することで解決されました。
CVE-2022-32946: Guilherme Rambo of Best Buddy Apps (rambo.codes)

GPU ドライバー

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明：この問題は、メモリ処理を改善することで解決されました。
CVE-2022-32947: Asahi Lina (@LinaAsahi)

IOHIDFamily

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：アプリが予期せず終了したり、任意のコードが実行される可能性がある。
説明：メモリ破損の問題は、状態管理を改善することで対処しました。
CVE-2022-42820: Peter Pan ZhenPeng of STAR Labs

IOK

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明：ロックを改善し、競合状態に対処しました。
CVE-2022-42806: Tingting Yin of Tsinghua University

カーネル

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明：この問題は、メモリ処理を改善することで解決されました。

CVE-2022-32924: Ian Beer of Google Project Zero

カーネル

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：リモートユーザーがカーネルコードを実行できる可能性がある。
説明：境界チェックを改善することで、境界外書き込みの問題に対処しました。
CVE-2022-42808: Zweig of Kunlun Lab

カーネル

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性があります。Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
説明：境界チェックを改善することで、境界外書き込みの問題に対処しました。
CVE-2022-42827: an anonymous researcher

ppp

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：root 権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明：メモリ管理を改善し、use after free の問題に対処しました。
CVE-2022-42829: an anonymous researcher

ppp

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：root 権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明：この問題は、メモリ処理を改善することで解決されました。
CVE-2022-42830: an anonymous researcher

ppp

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：root 権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明：ロッキングを改善し、競合状態に対処しました。
CVE-2022-42831: an anonymous researcher
CVE-2022-42832: an anonymous researcher

サンドボックス

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：アプリがユーザーの機密データにアクセスできる可能性がある
説明：サンドボックスの制限を追加することで、アクセスの問題に対処しました。
CVE-2022-42811: Justin Bui (@slyd0g) of Snowflake

ショートカット

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：ショートカットにより、ファイルシステム上の任意のパスの存在を確認できる可能性がある。
説明：ディレクトリパスの処理における構文解析の問題に対処し、パスの検証を改善しました。
CVE-2022-32938: Cristian Dinca of Tudor Vianu National High School of Computer Science of. Romania

WebKit

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：悪意のある Web サイトにアクセスすると、ユーザーインターフェイスのなりすましにつながる可能性があります。
説明: この問題は、UI 処理を改善することで解決されました。
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad)、Dohyun Lee (@l33d0hyun)

WebKit

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性がある。
説明：メモリ処理を改善することで、タイプの混乱の脆弱性に対処しました。
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) of SSD Labs

WebKit

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：悪意を持って作成された Web コンテンツを処理すると、ユーザーの機密情報が漏洩する可能性がある。
説明：ロジックの問題に対処し、状態管理を改善しました。
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi of Microsoft Browser Vulnerability Research, Ryan Shin of IAAI SecLab at Korea University, Dohyun Lee (@l33d0hyun) of DNSLab at Korea University

WebKit PDF

対象機種：iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
影響：悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性がある。
説明：メモリ管理を改善し、use after free の問題に対処しました。
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) at Theori working with Trend Micro Zero Day Initiative