Appleは先週、iOS 16.3.1のリリースに伴い、iPhoneおよびiPadユーザー向けに複数のセキュリティパッチをリリースしました。これらのパッチの詳細は既にウェブサイトで公開されていましたが、Appleはセキュリティウェブページを更新し、最新のiOSアップデートで修正された脆弱性がさらに存在することを明らかにしました。

iOS 16.3アップデートでさらに多くのセキュリティパッチがリストアップ

Twitter の Aaron が指摘したように、Apple は iOS 16.3.1 に新しい Common Vulnerabilities and Exposures (CVE) を追加し、1 月にリリースされた iOS 16.3 に 3 つの新しい CVE を追加しました。

AppleがiOS 16.3.1で修正された新たな脆弱性は、「悪意を持って作成された証明書」に関連しており、攻撃者がデバイスまたはネットワークに大量のトラフィックを流してクラッシュを引き起こすサービス拒否（DoS）攻撃につながる可能性があります。Appleは、このDoS問題は「入力検証の改善」によって修正されたと述べています。

興味深いことに、iOS 16.3のセキュリティコンテンツのウェブページも更新され、今回のアップデートで修正された3つの新たなエクスプロイトが公開されています。システムのクラッシュレポーターで発見されたエクスプロイトの1つは、攻撃者がルート権限で任意のファイルを読み取ることができる可能性があります。また、Foundation関連の他の2つのエクスプロイトは、攻撃者がアプリのサンドボックスを回避し、より高い権限でiPhoneまたはiPad上で任意のコードを実行できる可能性があります。

財団

対象機種: iPhone 8以降、iPad Pro(全モデル)、iPad Air(第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降

影響: アプリがサンドボックス外または特定の昇格された権限で任意のコードを実行できる可能性があります

説明: メモリ処理を強化することでこの問題を解決しました。

CVE-2023-23530: オースティン・エミット、Trellix ARC シニアセキュリティ研究者

Appleがなぜこれまでこのようなセキュリティ上の脆弱性について言及しなかったのかは不明です。しかし、これらの脆弱性はすべてiOS 16.3.1で修正されており、現在すべてのユーザーが利用できる状態であることは留意しておく価値があります。macOS 13.2.1とiOS 16.3.1では、AppleはWebKit（Safariウェブブラウザエンジン）に関連する「積極的に悪用されていた」セキュリティ侵害も修正しました。

iOS およびその他の Apple ソフトウェアのセキュリティ コンテンツの詳細については、Apple の Web サイトでご確認いただけます。

havebin.com を Google ニュース フィードに追加します。