Appleは、iOS 14.8、watchOS 7.6.2、iPadOS 14.8、macOS Big Sur 11.6の新機能を詳細に説明した完全なサポートドキュメントを公開しました。Appleによると、これらのアップデートは「実際に悪用されている可能性のある」セキュリティ上の脆弱性に対処しているとのことです。

最新情報：Citizen Labは本日、脆弱性に関する詳細情報を記載した新しいレポートを公開しました。要点は、すべてのデバイスを早急にアップデートすることです。

Appleのセキュリティエンジニアリングおよびアーキテクチャ責任者であるIvan Krstić氏は声明の中で次のように述べた。

iMessageのこのエクスプロイトで利用された脆弱性を特定した後、Appleはユーザー保護のため、iOS 14.8で迅速に修正プログラムを開発し、適用しました。Citizen Labが、このエクスプロイトのサンプルを入手するという非常に困難な作業を完了し、迅速な修正プログラムの開発を可能にしてくれたことに感謝いたします。今回のような攻撃は非常に巧妙で、開発には数百万ドルの費用がかかり、有効期間が短い場合が多く、特定の個人を標的とするために利用されます。これは、これらの攻撃が大多数のユーザーにとって脅威ではないことを意味しますが、私たちはすべてのお客様を守るためにたゆまぬ努力を続け、お客様のデバイスとデータを保護する新たな保護機能を継続的に追加しています。

最も注目すべきは、AppleがiOS 14.8とiPadOS 14.8の両方で、実際に悪用されている可能性のあるCoreGraphicsとWebKitの脆弱性が修正されていると述べていることです。CoreGraphicsの脆弱性は、 8月にAppleのBlastdoor保護を破ったゼロクリックiPhone攻撃を発見したThe Citizen Labによって報告されました。

シチズン・ラボが報告した脆弱性は、NSOグループのペガサススパイウェアでiPhoneをハッキングされたバーレーンの活動家を標的にするために使用されたと考えられている。

• ペガサスによる新たなゼロクリックiPhone攻撃がAppleのブラストドア防御を突破

Apple は本日公開されたサポート ドキュメントで、脆弱性とその修正について概説しています。

コアグラフィックス

対象機種: iPhone 6s以降、iPad Pro（全モデル）、iPad Air 2以降、iPad（第5世代）以降、iPad mini 4以降、iPod touch（第7世代）

影響：悪意を持って作成されたPDFを処理すると、任意のコードが実行される可能性がある。Appleは、この問題が実際に悪用されている可能性があるという報告を認識している。

説明: 入力検証を強化することで整数オーバーフローに対処しました。

CVE-2021-30860: シチズンラボ

WebKit の脆弱性に対する修正もあります。

ウェブキット

対象機種: iPhone 6s以降、iPad Pro（全モデル）、iPad Air 2以降、iPad（第5世代）以降、iPad mini 4以降、iPod touch（第7世代）

影響：悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性がある。Appleは、この問題が実際に悪用されている可能性があるという報告を認識している。

説明: メモリ管理を改善し、解放済みメモリ使用 (use-after-free) の問題を解決しました。

CVE-2021-30858: 匿名の研究者

本日のセキュリティ更新に関する詳細は、次のリンクでご覧いただけます。

• セキュリティアップデート 2021-005 Catalina
• macOS Big Sur 11.6
• ウォッチOS 7.6.2
• iOS 14.8 および iPadOS 14.8

www.mofope.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。