iOS17.6が配信開始！全ユーザーに推奨！重要なセキュリティ修正が含まれるので早急に適用を！

本日AppleがiPhone XS以降のiPhone向けにiOS17.6を、iPad向けにiPadOS17.6の配信を開始しました。

今回のアップデートでは、重要なセキュリティ修正が行われており、Appleはすべてのユーザーに適用を推奨しています。皆さん早急にアップデートを適用しておきましょう。

なお、今回はゼロデイ脆弱性の修正こそなかったものの、CVE番号ベースで35件の脆弱性が修正されています。公開後は悪用される危険性も高まるため、皆さん早急にアップデートを適用しておきましょう。

また、iOS17.6/iPadOS17.6以外にもアップデートが提供されています。こちらもそれぞれ適用しておきましょう。

iOS17.6のアップデート内容

iOS17.6のアップデート内容は以下の通りです。

このアップデートには重要なバグ修正とセキュリティアップデートが含まれ、すべてのユーザに推奨されます。
Appleソフトウェアアップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください:
https://support.apple.com/ja-jp/HT201222

iOS17.6：セキュリティアップデートの内容

iOS17.6におけるセキュリティアップデートの内容は以下の通りです。

AppleMobileFileIntegrity

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: アプリがプライバシー設定をバイパスする可能性があります。
説明: 追加のコード署名制限によりダウングレードの問題に対処しました。
CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるファイルを処理すると、アプリが予期せず終了する可能性があります。
説明: 改善された入力検証により、範囲外読み取りの問題に対処しました。
CVE-2024-40799: D4m0n

CoreMedia

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるビデオファイルを処理すると、アプリが予期せず終了する可能性があります。
説明: 改善された入力検証により、範囲外書き込みの問題に対処しました。
CVE-2024-27873: Amir Bazine and Karsten König of CrowdStrike Counter Adversary Operations

dyld

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 任意の読み書き権限を持つ悪意のある攻撃者がポインタ認証をバイパスする可能性があります。
説明: 追加の検証によりレースコンディションの問題に対処しました。
CVE-2024-40815: w0wbox

Family Sharing

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: アプリが機密な位置情報を読み取る可能性があります。
説明: 改善されたデータ保護により、この問題に対処しました。
CVE-2024-40795: Csaba Fitzl (@theevilbit) of Kandji

ImageIO

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 画像を処理するとサービス拒否が発生する可能性があります。
説明: これはオープンソースコードの脆弱性であり、Appleのソフトウェアも影響を受けています。CVE-IDは第三者によって割り当てられました。詳細はcve.orgで確認してください。
CVE-2023-6277
CVE-2023-52356

ImageIO

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるファイルを処理すると、アプリが予期せず終了する可能性があります。
説明: 改善された入力検証により、範囲外読み取りの問題に対処しました。
CVE-2024-40806: Yisumi

ImageIO

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるファイルを処理すると、アプリが予期せず終了する可能性があります。
説明: 改善された範囲チェックにより、範囲外アクセスの問題に対処しました。
CVE-2024-40777: Junsung Lee working with Trend Micro Zero Day Initiative, and Amir Bazine and Karsten König of CrowdStrike Counter Adversary Operations

ImageIO

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるファイルを処理すると、アプリが予期せず終了する可能性があります。
説明: 改善された入力検証により、整数オーバーフローの問題に対処しました。
CVE-2024-40784: Junsung Lee working with Trend Micro Zero Day Initiative, Gandalf4a

Kernel

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: ローカル攻撃者がカーネルメモリのレイアウトを特定できる可能性があります。
説明: ログエントリのプライベートデータの編集を改善することで、情報漏洩の問題に対処しました。
CVE-2024-27863: CertiK SkyFall Team

Kernel

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: ローカル攻撃者が予期せぬシステムシャットダウンを引き起こす可能性があります。
説明: 改善されたメモリ処理により、型の混乱の問題に対処しました。
CVE-2024-40788: Minghao Lin and Jiaxun Zhu from Zhejiang University

libxpc

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: アプリがプライバシー設定をバイパスする可能性があります。
説明: 追加の制限により、権限の問題に対処しました。
CVE-2024-40805

Phone

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 物理的なアクセスを持つ攻撃者がSiriを使用して機密ユーザーデータにアクセスする可能性があります。
説明: 改善された状態管理により、ロック画面の問題に対処しました。
CVE-2024-40813: Jacob Braun

Photos Storage

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 隠しフォトアルバム内の写真が認証なしで表示される可能性があります。
説明: 改善された状態管理により、認証の問題に対処しました。
CVE-2024-40778: Mateen Alinaghi

Sandbox

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: アプリがプライバシー設定をバイパスする可能性があります。
説明: 改善された状態管理により、この問題に対処しました。
CVE-2024-40824: Wojciech Regula（SecuRing）、Zhongquan Li（JingDongのDawn Security Lab）

Sandbox

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: アプリが保護されたユーザーデータにアクセスする可能性があります。
説明: 改善された検証により、パス処理の問題に対処しました。
CVE-2024-27871: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) of Kandji, and Zhongquan Li (@Guluisacat) of Dawn Security Lab of JingDong

Shortcuts

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: ショートカットがユーザーにプロンプトを表示せずに特定の操作で機密データを使用する可能性があります。
説明: 改善されたチェックにより、ロジックの問題に対処しました。
CVE-2024-40835: an anonymous researcher
CVE-2024-40836: an anonymous researcher

Shortcuts

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: ショートカットがインターネット許可要件をバイパスする可能性があります。
説明: 改善されたチェックにより、ロジックの問題に対処しました。
CVE-2024-40809: an anonymous researcher
CVE-2024-40812: an anonymous researcher

Shortcuts

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: ショートカットがインターネット許可要件をバイパスする可能性があります。
説明: ユーザーの同意を求める追加のプロンプトを追加することで、この問題に対処しました。
CVE-2024-40787: an anonymous researcher

Shortcuts

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: アプリがユーザーの機密データにアクセスする可能性があります。
説明: 脆弱なコードを削除することで、この問題に対処しました。
CVE-2024-40793: Kirin (@Pwnrin)

Siri

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 攻撃者が機密ユーザ情報を表示する可能性があります。
説明: 改善された状態管理により、この問題に対処しました。
CVE-2024-40786: Bistrit Dahal

Siri

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 物理的なアクセスを持つ攻撃者がSiriを使用して機密ユーザーデータにアクセスする可能性があります。
説明: ロックされたデバイスで提供されるオプションを制限することで、この問題に対処しました。
CVE-2024-40818: Bistrit Dahal and Srijan Poudel

Siri

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 物理的にアクセスできる攻撃者がロック画面から連絡先にアクセスする可能性があります。
説明: ロックされたデバイスで提供されるオプションを制限することで、この問題に対処しました。
CVE-2024-40792: Sergey Penzin

VoiceOver

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 攻撃者がロック画面から制限されたコンテンツを表示する可能性があります。
説明: 改善されたチェックにより、この問題に対処しました。
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia)（Lakshmi Narain College of Technology Bhopal India）

WebKit

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるウェブコンテンツを処理すると、予期しないプロセスのクラッシュが発生する可能性があります。
説明: メモリ管理の改善により、使用後解放の問題に対処しました。
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin（Ant Group Light-Year Security Lab）
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl

WebKit

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるウェブコンテンツを処理すると、予期しないプロセスのクラッシュが発生する可能性があります。
説明: 範囲外読み取りの問題に対処するため、範囲チェックを改善しました。
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin（Ant Group Light-Year Security Lab）
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin（Ant Group Light-Year Security Lab）

WebKit

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるウェブコンテンツを処理すると、クロスサイトスクリプティング攻撃が発生する可能性があります。
説明: 改善されたチェックにより、この問題に対処しました。
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるウェブコンテンツを処理すると、予期しないプロセスのクラッシュが発生する可能性があります。
説明: 範囲外アクセスの問題に対処するため、範囲チェックを改善しました。
CVE-2024-40789: Seunghyun Lee (@0x10n) of KAIST Hacking Lab working with Trend Micro Zero Day Initiative

WebKit

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: 悪意のあるウェブコンテンツを処理すると、予期しないプロセスのクラッシュが発生する可能性があります。
説明: これはオープンソースコードの脆弱性であり、Appleのソフトウェアも影響を受けています。CVE-IDは第三者によって割り当てられました。詳細はcve.orgで確認してください。
WebKit Bugzilla: 274165
CVE-2024-4558

WebKit

対応機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第6世代以降、iPad mini第5世代以降
影響: プライベートブラウジングタブが認証なしでアクセスされる可能性があります。
説明: 改善された状態管理により、この問題に対処しました。
WebKit Bugzilla: 275272
CVE-2024-40794: Matthew Butler