本日AppleがiOS17.6の配信を開始しましたが、併せて旧モデル向けにもセキュリティアップデートの配信を開始しています。
iPhone 8以降のモデル向けにはiOS16.7.9/iPadOS16.7.9が配信されており、CVE番号ベースで26件の脆弱性が修正されています。iPhone 8やiPhone Xユーザーは至急アップデートを適用しておきましょう。
一方、iPhone 6s以降向けにはiOS 15.8.3/iPadOS15.8.3が配信されています。CVE番号ベースの脆弱性修正はありませんでしたが、重要なセキュリティ修正が含まれているとの事なので、iPhone 6sやiPhone 7、iPhone SE(第1世代)を利用中のユーザーは速やかにアップデートを適用しておきましょう。
iOS16.7.9 および iPadOS16.7.9 にて修正された脆弱性/セキュリティアップデートの内容
iOS16.7.9 および iPadOS16.7.9 にて修正された脆弱性/セキュリティアップデートの内容は以下の通りです。
CoreGraphics
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるファイルの処理により予期しないアプリの終了が発生する可能性があります
- 説明: 範囲外読み取りの問題が入力検証の改善により対処されました。
- CVE-2024-40799: D4m0n
CoreMedia
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるビデオファイルの処理により予期しないアプリの終了が発生する可能性があります
- 説明: 範囲外書き込みの問題が入力検証の改善により対処されました。
- CVE-2024-27873: Amir Bazine and Karsten König of CrowdStrike Counter Adversary Operations
ImageIO
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 画像の処理によりサービス拒否(DoS)が発生する可能性があります
- 説明: これはオープンソースコードの脆弱性であり、Appleのソフトウェアも影響を受けるプロジェクトの一つです。CVE-IDは第三者により割り当てられました。詳細はcve.orgで確認できます。
- CVE-2023-6277
CVE-2023-52356
ImageIO
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるファイルの処理により予期しないアプリの終了が発生する可能性があります
- 説明: 範囲外読み取りの問題が入力検証の改善により対処されました。
- CVE-2024-40806: Yisumi
ImageIO
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるファイルの処理により予期しないアプリの終了が発生する可能性があります
- 説明: 整数オーバーフローの問題が入力検証の改善により対処されました。
- CVE-2024-40784: Trend Micro Zero Day InitiativeおよびGandalf4aと連携するJunsung Lee
Kernel
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: ローカルの攻撃者が予期しないシステムシャットダウンを引き起こす可能性があります
- 説明: 型混同の問題がメモリ処理の改善により対処されました。
- CVE-2024-40788: Minghao Lin and Jiaxun Zhu from Zhejiang University
NetworkExtension
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: プライベートブラウジング中に一部の閲覧履歴が漏れる可能性があります
- 説明: ログエントリのプライベートデータの削除を改善することでプライバシーの問題が対処されました。
- CVE-2024-40796: Adam M.
Photos Storage
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 非表示写真アルバム内の写真が認証なしに表示される可能性があります
- 説明: 状態管理の改善により認証の問題が対処されました。
- CVE-2024-40778: Mateen Alinaghi
Security
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: アプリがSafariの閲覧履歴を読み取ることができる可能性があります
- 説明: 敏感な情報の削除を改善することでこの問題が対処されました。
- CVE-2024-40798: Adam M.
Shortcuts
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: ショートカットが特定のアクションでユーザーの確認なしに機密データを使用する可能性があります
- 説明: チェックの改善によりロジックの問題が対処されました。
- CVE-2024-40833: an anonymous researcher
CVE-2024-40835: an anonymous researcher
CVE-2024-40836: an anonymous researcher
Shortcuts
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: アプリがユーザーの機密データにアクセスできる可能性があります
- 説明: 脆弱なコードの削除によりこの問題が対処されました。
- CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: ショートカットがインターネット許可要件をバイパスできる可能性があります
- 説明: チェックの改善によりロジックの問題が対処されました。
- CVE-2024-40809: an anonymous researcher
CVE-2024-40812: an anonymous researcher
Siri
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 物理的にアクセス可能な攻撃者がSiriを使用して機密ユーザーデータにアクセスできる可能性があります
- 説明: ロックされたデバイスで提供されるオプションの制限によりこの問題が対処されました。
- CVE-2024-40818: Bistrit Dahal and Srijan Poudel
Siri
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 攻撃者が機密ユーザー情報を閲覧できる可能性があります
- 説明: 状態管理の改善によりこの問題が対処されました。
- CVE-2024-40786: Bistrit Dahal
Siri
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 物理的にデバイスにアクセス可能な攻撃者がロック画面から連絡先にアクセスできる可能性があります
- 説明: ロックされたデバイスで提供されるオプションの制限によりこの問題が対処されました。
- CVE-2024-40822: Srijan Poudel
VoiceOver
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 攻撃者がロック画面から制限されたコンテンツを閲覧できる可能性があります
- 説明: チェックの改善によりこの問題が対処されました。
- CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) of Lakshmi Narain College of Technology Bhopal India
WebKit
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるWebコンテンツの処理により予期しないプロセスのクラッシュが発生する可能性があります
- 説明: 範囲外アクセスの問題が境界チェックの改善により対処されました。
- CVE-2024-40789: Seunghyun Lee (@0x10n) of KAIST Hacking Lab working with Trend Micro Zero Day Initiative
WebKit
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるWebコンテンツの処理により予期しないプロセスのクラッシュが発生する可能性があります
- 説明: 使用後解放の問題がメモリ管理の改善により対処されました。
- WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin of Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるWebコンテンツの処理により予期しないプロセスのクラッシュが発生する可能性があります
- 説明: 範囲外読み取りの問題が境界チェックの改善により対処されました。
- WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin of Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin of Ant Group Light-Year Security Lab
WebKit
- 対応機種: iPhone 8, iPhone 8 Plus, iPhone X, iPad 第5世代, iPad Pro 9.7インチ, iPad Pro 12.9インチ 第1世代
- 影響: 悪意のあるWebコンテンツの処理によりクロスサイトスクリプティング攻撃が発生する可能性があります
- 説明: チェックの改善によりこの問題が対処されました。
- WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
iOS15.8.3 および iPadOS15.8.3 にて修正された脆弱性/セキュリティアップデートの内容
iOS15.8.3 および iPadOS15.8.3 にて修正された脆弱性/セキュリティアップデートの内容ですが、CVE番号ベースの脆弱性修正はありませんでした。
ただし、重要なセキュリティ修正が含まれているとの事なので、iPhone 6sやiPhone 7、iPhone SE(第1世代)を利用中のユーザーは速やかにアップデートを適用しておきましょう。
コメント