アンドリュー・オール
· 2分で読めます
Apple、最新のOSアップデートでWebKitの欠陥を修正
Apple は、iOS、iPadOS、macOS Sonoma を新しいアップデートでアップデートし、個人データを攻撃者に漏らす可能性のある、現在も悪用されている 2 つの WebKit バグを修正しました。
同社は木曜日に最新バージョンのOSをリリースし、iOS 17とiPadOS 17を17.1.2に、macOS Sonomaを14.1.2にアップデートしました。これらのアップデートは、様々なインターネットブラウザでウェブコンテンツをレンダリングするための基盤として使用されているAppleのオープンソースウェブブラウザエンジンであるWebKitのセキュリティ上の欠陥の修正に重点を置いています。
このアップデートは、iOS、iPadOS、macOS Sonoma 内の同じ 2 つの脆弱性に対処します。
iOS 17.1.2、iPadOS iOS 17.1.2、macOS Sonoma 14.1.2 のセキュリティアップデート
最初のWebKitの欠陥
- 利用可能なデバイス: iPhone XS 以降、iPad Pro 12.9 インチ (第 2 世代) 以降、iPad Pro 10.5 インチ、iPad Pro 11 インチ (第 1 世代) 以降、iPad Air (第 3 世代) 以降、iPad (第 6 世代) 以降、iPad mini (第 5 世代) 以降、macOS Sonoma。
- 影響:Webコンテンツを処理すると機密情報が漏洩する可能性があります。Appleは、この問題がiOS 16.7.1より前のバージョンのiOSで悪用された可能性があるという報告を認識しています。
- 説明: 入力検証の強化により、範囲外の読み取りに対処しました。
- CVE-2023-42916 : Google 脅威分析グループの Clement Lecigne
2つ目のWebKitの欠陥
- 対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代)以降、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第6世代)以降、iPad mini(第5世代)以降、macOS Sonoma
- 影響:Webコンテンツの処理により、任意のコードが実行される場合があります。Appleは、この問題がiOS 16.7.1より前のバージョンのiOSで悪用された可能性があるという報告を認識しています。
- 説明: ロックの強化により、メモリ破損の脆弱性が解決されました。
- CVE-2023-42917:Googleの脅威分析グループのクレメント・ルシーニュ
それが意味するもの
まず、「Web コンテンツの処理により機密情報が漏洩する可能性があります」とは、Safari での閲覧など、Web コンテンツを処理する際に iOS の脆弱性により個人データへの不正アクセスや漏洩が発生する可能性があることを意味します。
次に、「境界外読み取り」とは、プログラムが意図したメモリ割り当ての境界外のデータを読み取るソフトウェアバグです。このようなバグは、機密データへの不正アクセスやシステムクラッシュなど、さまざまな問題を引き起こす可能性があります。
入力検証とは、プログラムが受信したデータをチェック・検証し、処理前にその正確性と安全性を確認する手法です。Appleは、システムが受信データをより適切に検証・サニタイズすることで、こうした脆弱性のリスクを軽減しました。
Appleは、WebKitの脆弱性を悪用した攻撃者の報告を少なくとも1件受け取ったと述べており、安全を保つためにはiOS 17.1.2、iPadOS 17.1.2、macOS Sonoma 14.1.2にアップデートすることが重要であるという。
