Appleは本日、iPhone、iPad、Mac向けに重要なセキュリティアップデートをリリースしました。修正リストは短いですが、iOS 17.1.2とmacOS Sonoma 14.1.2では、悪用が頻発している2つのWebベースのセキュリティ脆弱性が修正されています。

これらのアップデートのデバイス上のリリースノートでは、Apple は典型的な定型文を使用しています。「このアップデートは重要なセキュリティ修正を提供するものであり、すべてのユーザーに推奨されます。」

しかし、Apple のセキュリティ更新ページには、悪用された 2 つの脆弱性の詳細が記載されており、どちらも WebKit に関するものであり、積極的に悪用されていると報告されています。

最初の脆弱性は、Web 処理を使用して「機密情報を漏洩」し、2 番目の脆弱性は、Web 処理を使用して任意のコードの実行を可能にしました。

詳細は次のとおりです。

ウェブキット

対象機種: iPhone XS以降、iPad Pro 12.9インチ（第2世代以降）、iPad Pro 10.5インチ、iPad Pro 11インチ（第1世代以降）、iPad Air（第3世代以降）、iPad（第6世代以降）、iPad mini（第5世代以降）

影響：Web コンテンツの処理により機密情報が漏洩する可能性があります。Apple は、この問題が iOS 16.7.1 より前のバージョンの iOS で悪用された可能性があるという報告を認識しています。

説明: 入力検証を強化することで、範囲外の読み取りに対処しました。

WebKit Bugzilla: 265041
CVE-2023-42916: Google 脅威分析グループの Clément Lecigne

ウェブキット

対象機種: iPhone XS以降、iPad Pro 12.9インチ（第2世代以降）、iPad Pro 10.5インチ、iPad Pro 11インチ（第1世代以降）、iPad Air（第3世代以降）、iPad（第6世代以降）、iPad mini（第5世代以降）

影響：Webコンテンツを処理すると、任意のコードが実行される場合があります。Appleは、この問題がiOS 16.7.1より前のバージョンのiOSで悪用された可能性があるという報告を認識しています。

説明: ロックを強化することで、メモリ破損の脆弱性に対処しました。

WebKit Bugzilla: 265067
CVE-2023-42917: Google 脅威分析グループの Clément Lecigne

関連している：

• 注意：セキュリティ上の欠陥が活発に悪用されているため、Mac の Chrome を更新してください
• Bluetoothのセキュリティ上の欠陥により、2014年以降、あらゆるデバイスで接続が乗っ取られる可能性がある
• PSA: MacをAMOSに感染させる偽のSafariとChromeのアップデートにご注意ください
• Flipper Zeroは最新バージョンのiOS 17を実行しているiPhoneをクラッシュさせる可能性がある

havebin.com を Google ニュース フィードに追加します。