先日Appleは、悪用された可能性の高いゼロデイ脆弱性に対応した修正パッチをiPhoneやiPad、Mac向けに配信しましたが、少し遅れて4月10日に、旧端末向けにもゼロデイ脆弱性に対応した修正パッチの配信を開始しました。
iPhone向けには「iOS 15.7.5」が配信され、対象デバイスはiPhone 6s、iPhone 7、iPhone SE (第1世代)となり、iPad向けには「iPadOS 15.7.5」が配信され、対象デバイスはiPad Air 2、iPad mini (第4世代)となっています。他にiPod touch (第7世代)も対象となります。
現在上記のデバイスを利用している方は、早急にアップデートの適用を行っておきましょう。また、Mac向けにもmacOS Big Sur 11.7.6 / macOS Monterey 12.6.5が配信さているので、こちらも早急に適用を。
iOS 15.7.5:セキュリティアップデートの内容
iOS 15.7.5におけるセキュリティアップデートの内容をご紹介しておきます。CVE番号ベースで2件の修正が行われており、2件ともに悪用された可能性がある重大な脆弱性となっています。
弱性情報が公開されると悪用される危険性もさらに高まりますので、皆さん速やかにアップデートを適用しておきましょう。
IOSurfaceAccelerator
- 対象となるデバイス:iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第1世代)、iPad Air 2、iPad mini (第4世代)、および iPod touch (第7世代)
- 影響:アプリがカーネル権限で任意のコードを実行できる可能性があります。 Appleは、この問題が積極的に悪用された可能性があるという報告を認識しています。
- 説明:入力検証を改善することで、範囲外書き込みの問題に対処しました。
- CVE-2023-28206:Clément Lecigne of Google’s Threat Analysis Group and Donncha Ó Cearbhaill of Amnesty International’s Security Lab
WebKit
- 対象となるデバイス:iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第1世代)、iPad Air 2、iPad mini (第4世代)、および iPod touch (第7世代)
- 影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。 Appleは、この問題が積極的に悪用された可能性があるという報告を認識しています。
- 説明:メモリ管理を改善し、use after free の問題に対処しました。
- WebKit Bugzilla:254797
CVE-2023-28205:Clément Lecigne of Google’s Threat Analysis Group and Donncha Ó Cearbhaill of Amnesty International’s Security Lab
コメント