iOS 17のリリースから3日後、Appleは3つの重要なセキュリティパッチを含むiOS 17.0.1をリリースしました。注目すべきは、Appleが修正された脆弱性のすべてが実際に悪用されていると報告されていることを認識していると述べている点です。

Appleは、iOS 17.0.1をiPadOS 17.0.1、watchOS 10.0.1などとともに「重要なバグ修正とセキュリティアップデート」とともにリリースした直後、セキュリティページで脆弱性の詳細を公開した。

3つの頻繁に悪用される脆弱性を修正

1 つはカーネルの欠陥、もう 1 つは署名検証の問題を回避するもの、最後の 1 つは任意のコード実行を可能にする WebKit の脆弱性でした。

Appleによると、これら3つの脆弱性はいずれも16.7より前に積極的に悪用されていたと報告されている。iOS 17.0.1では「チェック機能の改善」が実装され、3つ目の脆弱性については「証明書検証の問題」が修正され、以前に発見されたバグへの対策が講じられた。

セキュリティを強化するには新しいリリースにアップデートするのが最善ですが、このソフトウェアを使用してバックアップから復元する前に、iPhone 15/15 ProにiOS 17.0.1をインストールする必要があることに注意してください。

修正された各欠陥の CVE は次のとおりです。

カーネル

対象機種: iPhone XS以降、iPad Pro 12.9インチ（第2世代）以降、iPad Pro 10.5インチ、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第6世代）以降、iPad mini（第5世代）以降

影響：ローカルの攻撃者が権限を昇格できる可能性があります。Appleは、この問題がiOS 16.7より前のバージョンのiOSで積極的に悪用されている可能性があるという報告を認識しています。

説明: チェックを強化することでこの問題を解決しました。

CVE-2023-41992: トロント大学マンク校のシチズンラボのビル・マルザック氏とGoogleの脅威分析グループのマディ・ストーン氏

安全

対象機種: iPhone XS以降、iPad Pro 12.9インチ（第2世代）以降、iPad Pro 10.5インチ、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第6世代）以降、iPad mini（第5世代）以降

影響：悪意のあるアプリが署名検証を回避できる可能性があります。Appleは、この問題がiOS 16.7より前のバージョンのiOSで積極的に悪用されている可能性があるという報告を認識しています。

説明: 証明書検証の問題が解決されました。

CVE-2023-41991: トロント大学マンク校のシチズンラボのビル・マルザック氏とGoogleの脅威分析グループのマディ・ストーン氏

ウェブキット

対象機種: iPhone XS以降、iPad Pro 12.9インチ（第2世代）以降、iPad Pro 10.5インチ、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第6世代）以降、iPad mini（第5世代）以降

影響：Webコンテンツを処理すると、任意のコードが実行される場合があります。Appleは、この問題がiOS 16.7より前のバージョンのiOSで積極的に悪用されている可能性があるという報告を認識しています。

説明: チェックを強化することでこの問題を解決しました。

WebKit Bugzilla: 261544
CVE-2023-41993: トロント大学マンク校のCitizen LabのBill Marczak氏とGoogleの脅威分析グループのMaddie Stone氏

havebin.com を Google ニュース フィードに追加します。