本日AppleがiOS17.3の配信を開始しましたが、併せて旧モデル向けにもセキュリティアップデートの配信を開始しています。
iPhone 8以降のモデル向けにはiOS16.7.5/iPadOS16.7.5が配信されており、CVE番号ベースで12件の脆弱性が修正されています。このうち1件はゼロデイ脆弱性となっており、悪用の事実が確認されています。皆さん至急適用しておきましょう。
そしてiPhone 6s以降向けにはiOS15.8.1/iPadOS15.8.1が配信されており、こちらは2件の脆弱性修正が修正されています。いずれも悪用の事実のあるゼロデイ脆弱性となっているので、iPhone 6sやiPhone 7、iPhone SE(第1世代)などを利用中のユーザーは、速やかにアップデートを適用しておいてください。
iOS16.7.5 および iPadOS16.7.5 にて修正された脆弱性/セキュリティアップデートの内容
iOS16.7.5 および iPadOS16.7.5 にて修正された脆弱性/セキュリティアップデートの内容は以下の通りです。
Accessibility
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:アプリがユーザーの機密データにアクセスできる可能性がある。
- 説明: プライバシーの問題は、ログ エントリのプライベート データ編集を改善することで解決されました。
- CVE-2023-42937:Noah Roskin-Frazee and Prof. J. (ZeroClicks.ai Lab)
Apple Neural Engine
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
- 説明:この問題は、メモリ処理を改善することで解決されました。
- CVE-2024-23212:Ye Zhang of Baidu Security
curl
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:curl に複数の問題がある
- 説明:複数の問題は、curl バージョン 8.4.0 に更新することで解決されました。
- CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
CVE-2023-42915
ImageIO
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
- 説明:この問題はチェックを改善することで解決されました。
- CVE-2023-42888:Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative
Safari
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:ユーザーのプライベートブラウジングアクティビティが設定に表示される可能性がある。
- 説明:ユーザー設定の処理を改善することで、プライバシーの問題が解決されました。
- CVE-2024-23211:Mark Bowers
WebKit
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:Web コンテンツを処理すると、任意のコードが実行される可能性がある。
- 説明: この問題は、メモリ処理を改善することで解決されました。
- WebKit Bugzilla:266619
CVE-2024-23213:Wangtaiyu of Zhongfu info
WebKit
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性がある。
- 説明: メモリ処理を改善することで、複数のメモリ破損の問題が解決されました。
- WebKit Bugzilla:265129
CVE-2024-23214:Nan Wang (@eternalsakura13) of 360 Vulnerability Research Institute
WebKit
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:悪意を持って作成された Web ページにより、ユーザーのフィンガープリントが採取される可能性がある。
- 説明: アクセス制限を改善することで、アクセスの問題が解決されました。
- WebKit Bugzilla:262699
CVE-2024-23206:an anonymous researcher
WebKit
- 利用可能な機種: iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ 第1世代
- 影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。 Apple は、この問題が悪用された可能性があるという報告を認識しています。
- 説明: 型の混乱の問題は、チェックを改善することで解決されました。
- WebKit Bugzilla:267134
CVE-2024-23222
iOS15.8.1 および iPadOS15.8.1 にて修正された脆弱性/セキュリティアップデートの内容
iOS15.8.1 および iPadOS15.8.1 にて修正された脆弱性/セキュリティアップデートの内容は以下の通りです。
WebKit
- 利用可能な機種:iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第1世代)、iPad Air 2、iPad mini (第4世代)、iPod touch (第7世代)
- 影響:Web コンテンツを処理すると、機密情報が漏洩する可能性があります。 Apple は、この問題が iOS 16.7.1 より前のバージョンの iOS に対して悪用された可能性があるという報告を認識しています。
- 説明: 入力検証を改善することで、境界外の読み取りに対処しました。
- WebKit Bugzilla:265041
CVE-2023-42916:Clément Lecigne of Google’s Threat Analysis Group
WebKit
- 利用可能な機種:iPhone 6s (全モデル)、iPhone 7 (全モデル)、iPhone SE (第1世代)、iPad Air 2、iPad mini (第4世代)、iPod touch (第7世代)
- 影響:Web コンテンツを処理すると、任意のコードが実行される可能性があります。 Apple は、この問題が iOS 16.7.1 より前のバージョンの iOS に対して悪用された可能性があるという報告を認識しています。
- 説明:メモリ破損の脆弱性は、ロックを改善することで解決されました。
- WebKit Bugzilla:265067
CVE-2023-42917:Clément Lecigne of Google’s Threat Analysis Group
コメント