Appleは木曜日、いささか予想外の動きとして、iOS 12.5.5をリリースした。これは、iOS 13またはiPadOS 13以降を実行できない古いiPhone、iPad、iPod touch向けの小さなファームウェアアップデートである。
Appleによれば、iOS 12.5.5はiOS 12.5.4以前に存在するセキュリティ上の欠陥に対処しており、インストール可能なすべての端末に推奨されるとのこと。
サポートされているデバイスに iOS 12.5.5 をインストールすると、前述のセキュリティ上の欠陥を利用して悪意のあるハッカーがデバイスのデータを侵害することを防止できます。
サポートされているデバイスには、以下のものが含まれますが、これらに限定されるわけではありません。
- iPhone 5s
- iPhone 6
- iPhone 6プラス
- iPad Air 1
- iPad mini 2
- iPad mini 3
- iPod touch第6世代
Appleが数年前のバージョンのiOSやiPadOSにアップデートをリリースすることは珍しいことですが、全くないわけではありません。ユーザーへのリスクが十分に高く、注意を払う必要がある場合、Appleは旧機種のセキュリティ確保を継続することがあります。
今回のケースでは、セキュリティホールの一つは、ペガサススパイウェア事件の際に悪意のあるハッカーによって利用された可能性のあるゼロクリックエクスプロイトに関連しているようです。このエクスプロイトは、新しい端末向けにリリースされたiOSおよびiPadOS 14.8アップデートで修正されました。
iOS 12.5.5 アップデートのセキュリティ コンテンツによると、次の問題が修正されています。
コアグラフィックス
対象機種: iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch (第6世代)
影響:悪意を持って作成されたPDFを処理すると、任意のコードが実行される可能性がある。Appleは、この問題が実際に悪用されている可能性があるという報告を認識している。
説明: 入力検証を強化することで整数オーバーフローに対処しました。
CVE-2021-30860: シチズンラボ
ウェブキット
対象機種: iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch (第6世代)
影響:悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性がある。Appleは、この問題が実際に悪用されている可能性があるという報告を認識している。
説明: メモリ管理を改善し、解放済みメモリ使用 (use-after-free) の問題を解決しました。
CVE-2021-30858: 匿名の研究者
XNU
対象機種: iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch (第6世代)
影響:悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性があります。Appleは、この問題を悪用するエクスプロイトが実際に存在するという報告を認識しています。
説明: 状態処理を改善することで、型の混乱の問題を解決しました。
CVE-2021-30869: Google 脅威分析グループの Erye Hernandez、Google 脅威分析グループの Clément Lecigne、Google Project Zero の Ian Beer
すでに iOS または iPadOS 13 以降を実行している新しいデバイスでは、iOS 12.5.5 を気にする必要はありません。これには iPhone 7 以降が含まれます。
iOS 12.5.5をインストールできる古いデバイスをお持ちで、今回のアップデートのために再利用したいとお考えですか?ぜひ下のコメント欄でお知らせください。
