本日AppleがiOS17.1の配信を開始しましたが、併せて旧モデル向けにもセキュリティアップデートの配信を開始しています。
iPhone 8以降のモデル向けにはiOS16.7.2/iPadOS16.7.2が配信されており、CVE番号ベースで17件の脆弱性が修正されています。ゼロデイ脆弱性こそありませんが、重大な脆弱性が複数修正されているので、皆さん早めに適用しておきましょう。
一方、iPhone 6s以降向けにはiOS15.8/iPadOS15.8が配信されており、こちらは1件の脆弱性修正ですが、悪用の事実のあるゼロデイ脆弱性となっています。iPhone 6sやiPhone 7、iPhone SE(第1世代)などを利用中のユーザーは、速やかにアップデートを適用しておいてください。
iOS16.7.2 および iPadOS16.7.2 にて修正された脆弱性/セキュリティアップデートの内容
iOS16.7.2 および iPadOS16.7.2 にて修正された脆弱性/セキュリティアップデートの内容は以下の通りです。
CoreAnimation
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:アプリがサービス拒否を引き起こす可能性がある。
- 説明:この問題は、メモリ処理を改善することで解決されました。
- CVE-2023-40449:Tomi Tokics (@tomitokics) of iTomsn0w
Find My
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:アプリが機密の位置情報を読み取ることができる可能性がある。
- 説明:この問題は、キャッシュの処理を改善することで解決されました。
- CVE-2023-40413:Adam M.
ImageIO
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。
- 説明:この問題は、メモリ処理を改善することで解決されました。
- CVE-2023-40416:JZ
IOTextEncryptionFamily
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
- 説明:この問題は、メモリ処理を改善することで解決されました。
- CVE-2023-40423:an anonymous researcher
Kernel
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:すでにカーネルコードの実行を達成している攻撃者は、カーネルメモリの軽減策をバイパスできる可能性がある。
- 説明:この問題は、メモリ処理を改善することで解決されました。
- CVE-2023-42849:Linus Henze of Pinauten GmbH (pinauten.de)
Mail Drafts
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:「メールを非表示にする」が予期せず無効化される場合がある。
- 説明:一貫性のないユーザー インターフェイスの問題は、状態管理を改善することで解決されました。
- CVE-2023-40408:Grzegorz Riegel
mDNSResponder
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:デバイスが Wi-Fi MAC アドレスによって受動的に追跡される可能性がある。
- 説明:この問題は、脆弱なコードを削除することで解決されました。
- CVE-2023-42846:Talal Haj Bakry and Tommy Mysk of Mysk Inc. @mysk_co
Pro Res
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
- 説明:この問題は、メモリ処理を改善することで解決されました。
- CVE-2023-42841:Mingxuan Yang (@PPPF00L), happybabywu and Guang Gong of 360 Vulnerability Research Institute
Safari
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:悪意のある Web サイトにアクセスすると、閲覧履歴が明らかになる可能性がある
- 説明:この問題は、キャッシュの処理を改善することで解決されました。
- CVE-2023-41977:Alex Renda
Siri
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:物理的にアクセスできる攻撃者が、Siri を使用して機密性の高いユーザーデータにアクセスできる可能性がある。
- 説明:この問題は、ロックされたデバイスで提供されるオプションを制限することで解決されました。
- CVE-2023-41997:Bistrit Dahla
CVE-2023-41982:Bistrit Dahla
Weather
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:アプリがユーザーの機密データにアクセスできる可能性がある。
- 説明:プライバシーの問題は、ログ エントリのプライベート データ編集を改善することで解決されました。
- CVE-2023-41254:Cristian Dinca of “Tudor Vianu” National High School of Computer Science, Romania
WebKit
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:ユーザーのパスワードが VoiceOver によって読み上げられる可能性がある。
- 説明:この問題は、機密情報の編集を改善することで解決されました。
- WebKit Bugzilla:248717
CVE-2023-32359:Claire Houston
WebKit
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:Web コンテンツを処理すると、任意のコードが実行される可能性がある。
- 説明:この問題は、メモリ処理を改善することで解決されました。
- WebKit Bugzilla:259836
CVE-2023-40447:이준성(Junsung Lee) of Cross Republic
WebKit
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:Web コンテンツを処理すると、任意のコードが実行される可能性がある。
- 説明:チェックを改善することで、ロジックの問題が解決されました。
- WebKit Bugzilla:260173
CVE-2023-42852:an anonymous researcher
WebKit
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:Web コンテンツを処理すると、任意のコードが実行される可能性がある。
- 説明:解放後の使用の問題は、メモリ管理を改善することで解決されました。
- WebKit Bugzilla:259890
CVE-2023-41976:이준성(Junsung Lee)
WebKit Process Model
- 対象機種:iPhone 8 以降、iPad Pro (全モデル)、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降
- 影響:Web コンテンツの処理によりサービス拒否が発生する可能性がある
- 説明:この問題は、メモリ処理を改善することで解決されました。
- WebKit Bugzilla:260757
CVE-2023-41983:이준성(Junsung Lee)
iOS15.8 および iPadOS15.8 にて修正された脆弱性/セキュリティアップデートの内容
iOS15.8 および iPadOS15.8 にて修正された脆弱性/セキュリティアップデートの内容は以下の通りです。ゼロデイ脆弱性が修正されているので、iPhone 6sやiPhone 7、iPhone SE(第1世代)を利用中のユーザーは速やかにアップデートを適用しておきましょう。
- 対象機種:iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第1世代)、iPad Air 2、iPad mini (第4世代)、iPod touch (第7世代)
- 影響:アプリがカーネル権限で任意のコードを実行できる可能性があります。 Apple は、この問題が iOS 15.7 より前にリリースされた iOS のバージョンに対して積極的に悪用された可能性があるという報告を認識しています。
- 説明:入力検証を改善することで、整数オーバーフローが解決されました。
- CVE-2023-32434:Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor), and Valentin Pashkov of Kaspersky
コメント