AppleのiOS 18.3とiPadOS 18.3アップデートには、主要なセキュリティ強化と、現在悪用されている脆弱性の修正が含まれています。今すぐアップデートすべき理由をご紹介します。
月曜日、Appleは一連の開発者向けベータ版を経て、iOS 18.3を一般公開しました。このアップデートには、Apple Intelligenceの通知概要の変更など、注目すべき様々な機能強化と新機能が含まれていますが、重要なセキュリティパッチも含まれています。
ほとんどのiOSアップデートと同様に、iOS 18.3はiPhoneオペレーティングシステムの様々な機能や側面に関連するコアセキュリティ問題に対処しています。月曜日に導入された変更の多くは、ローカルおよびリモートの攻撃者がユーザーの個人情報にアクセスするのを防ぐことを目的としています。
Appleは、古いiOSバージョンで積極的に悪用されていたと思われる脆弱性に加え、Bluetoothの不正使用やアプリのルート権限付与を可能にするセキュリティ問題にもパッチを当てました。iOS 18.3では、攻撃者が悪用できる脆弱性が以前ほど多くなくなり、iPhoneオペレーティングシステムは一般ユーザーにとってより安全になります。
最も注目すべきは、iOS 18.3で悪意のある攻撃者によって積極的に悪用されていた重要な脆弱性が修正されたことです。Appleによると、同社はiOS 17.2より前のバージョンのオペレーティングシステムでCoreMediaの問題が悪用されたという報告を認識しているとのことです。
現在パッチが適用されている CoreMedia の問題により、アプリが権限を昇格することが可能になったが、Apple はメモリ管理の改善によってこの問題を解決した。
iOS 18.3で修正されたその他のセキュリティ脆弱性が攻撃者に悪用されたことは確認されていませんが、だからといって修正の重要性が下がるわけではありません。Appleは、サービス拒否攻撃、任意のコード実行、そして攻撃者がユーザーの個人情報にアクセスすることを可能とする可能性のある複数のセキュリティ問題に対処しました。
データを安全に保つ iOS 18.3 のその他の修正。
Abhay Kailasia 氏が発見し、既に修正済みのアクセシビリティ脆弱性の一つが、ロック解除されたデバイスに物理的にアクセスできる攻撃者がフォトアプリの情報にアクセス可能になるというものでした。これはアプリ自体がロックされている状態でも発生していましたが、その後、状態管理の改善により認証問題は解決されました。
現在修正されているアクセシビリティの脆弱性により、写真アプリへの不正アクセスが可能になりました。
Appleはまた、タイムゾーンに関連するプライバシー問題も修正しました。この問題により、アプリはシステムログを通じて特定の連絡先の電話番号を閲覧できていました。この脆弱性は、ログエントリのデータ編集を改善することで解決されました。
iOS 18.3では、以前SceneKitに影響を与えていた境界外読み取りの脆弱性が修正されました。この問題では、ファイルの解析によってユーザー情報が漏洩する可能性がありました。トレンドマイクロのゼロデイ・イニシアチブのマイケル・デプラント氏による発見を受け、Appleは境界チェックの改良を通じてこの脆弱性を修正しました。
LaunchServiceの脆弱性(既に修正済み)により、アプリがユーザーの指紋を採取することが可能になりました。iOS 18.3アップデートでは、機密データの編集機能を改善することでこの脆弱性を修正しています。
iOS 18.3は不正なBluetoothアクセスを防止し、カーネルのセキュリティ問題を解決
オープンソースコードに脆弱性があり、iOSアプリがiPhoneのBluetooth機能(AirDropやヘッドフォンなどの様々なアクセサリの接続に利用)に不正アクセスされる可能性がありました。この問題はオープンソースコードで発見されたため、CVE-ID(CV-2024-9956)が発行され、第三者によって対応されました。
iOS 18.3には、カーネル関連の複数の修正も含まれています。特に注目すべきは、すでにパッチが適用されている権限の問題により、悪意のあるアプリケーションがルートアクセスを取得できる可能性があった点です。Appleは追加の制限を実装することで、このカーネルの脆弱性に対処しました。
一方、カーネル関連の別の検証問題により、アプリケーションがカーネル権限で任意のコードを実行できる可能性がありました。iOS 18.3では、改良されたロジックを使用することでこのセキュリティ問題が修正されています。
iOS 18.3のセキュリティ修正によりサービス拒否攻撃を防止
Appleは、サービス拒否攻撃を許す可能性のある複数の脆弱性を修正しました。Oligo SecurityのUri Katz氏は、AirPlayに影響を与える複数のセキュリティ問題を発見しました。これらの脆弱性により、リモート攻撃者や「特権を持つ」攻撃者がDoS攻撃を実行することが可能になりました。
iOS 18.3 アップデートでは、AirPlay に関連する複数の脆弱性が解決されています。これらの脆弱性の一部は、サービス拒否攻撃を可能にしていました。
iOS 18.3アップデートでは、入力検証の改善とメモリ処理の改善により、これら2つのAirPlayの脆弱性がそれぞれ修正されました。Appleはメモリ処理の改善によって、DOS攻撃を可能にする無関係のImageIOセキュリティ問題も修正しました。
すでに修正済みのAirPlayに関する3つの脆弱性により、攻撃者は予期せぬアプリの終了やシステムの強制終了を引き起こす可能性がありました。また、AirPlayの別の脆弱性により、プロセスメモリの破損や任意のコード実行も可能になりました。iOS 18.3アップデートではこれらのAirPlay関連の問題が解決されているため、潜在的な攻撃者はこれらの脆弱性を利用できなくなります。
Safariは、悪意のあるウェブサイトを利用してアドレスバーとiOSユーザーインターフェースを偽装できる2つの脆弱性に対するパッチを受け取りました。Appleは、それぞれロジックの追加とユーザーインターフェースの改善により、これらの2つのセキュリティ問題に対処しました。
Safari は、iOS 18.3 アップデートで複数のセキュリティ修正を受けました。
一方、WebKitには3つのセキュリティ問題に対する修正が行われました。そのうちの1つは、Webコンテンツを処理することでサービス拒否攻撃を可能にするものでしたが、Appleはメモリ処理の改善を実装することでこの問題に対処しました。
iOS 18.3で修正された他の2つのWebKitの脆弱性は、それぞれユーザーの指紋を採取できる悪意のあるWebコンテンツ、または予期しないプロセスクラッシュを引き起こす可能性のあるWebコンテンツに関係していました。前者はファイルシステムの制限を改善することで修正され、後者は状態管理を改善することで解決されました。
WebContentFilterに重要なセキュリティ修正が適用され、攻撃者がカーネルメモリを破壊したり、予期せぬシステム終了を引き起こしたりする可能性のある脆弱性が修正されました。また、WebKit Webインスペクタに影響し、URLをコピーすることでコマンドインジェクションが可能になるプライバシー問題もAppleは解決しました。前者は入力検証の強化によって、後者はファイル処理の改善によって修正されました。
iOS 18.3アップデートのその他のセキュリティ修正
iOS 18.3アップデートには、20件以上のセキュリティ修正が含まれており、幅広い脆弱性が修正されています。iOS 18.3のセキュリティアップデートと修正の全リストは、Appleのウェブサイトでご覧いただけます。ここで既に言及した脆弱性に加え、AppleはARKit、CoreAudio、CoreMediaに関する問題も修正しました。
オペレーティングシステムを常に最新の状態に保つことが重要です。Appleの最新のセキュリティ修正により、悪意のある人物がユーザーの個人情報を入手することがはるかに困難になり、iOS 18.3アップデートのように、実際に使用されている脆弱性を修正する場合もあります。
![アップルは誠実さを欠いていると発言した英国の判事がサムスンに雇われる [u]](https://image.tslro.com/imggkole/0d/56/kevin_bostic.webp)
