Havebin

Watch

Apple、iOS 14.7とiPadOS 14.7のセキュリティ修正の詳細を公開c

Havebin
qlamk
0 Comments
Apple、iOS 14.7とiPadOS 14.7のセキュリティ修正の詳細を公開c
Apple、iOS 14.7とiPadOS 14.7のセキュリティ修正の詳細を公開c

今週初めにiOS 14.7、本日iPadOS 14.7がリリースされたことを受け、Appleはこれらのアップデートに含まれるセキュリティ修正の詳細を公開しました。Appleによると、iOS 14.7とiPadOS 14.7では、WebKitの脆弱性から「探す」の脆弱性まで、さまざまなセキュリティバグが修正されているとのことです。

注目すべきは、Appleのセキュリティアップデートのウェブページで、人権活動家、弁護士、ジャーナリスト、政治家を標的にしていたスパイウェア「Pegasus」について言及されていないことです。このスパイウェアは、AppleのiMessageシステムをゼロクリック攻撃の手段として利用しており、Appleがいつ修正プログラムを公開するかは不明です。

以下は、Apple提供のiOS 14.7およびiPadOS 14.7に含まれるセキュリティ修正の全詳細です。ただし、ここで考慮すべき重要な点は、AppleはiOS 14.7およびiPadOS 14.7で修正されたセキュリティ脆弱性が実際に悪用されたとは明言していないことです。

アクションキット

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: ショートカットによりインターネットの許可要件を回避できる可能性がある

説明: 入力検証を強化し、入力検証の問題を解決しました。

CVE-2021-30763: ザカリー・ケファバー(@QuickUpdate5)

オーディオ

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: ローカルの攻撃者が予期せぬアプリケーションの終了や任意のコードの実行を引き起こす可能性があります。

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30781: tr3e

AVEビデオエンコーダ

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある

説明: 状態管理を改善し、メモリ破損の問題を解決しました。

CVE-2021-30748: ジョージ・ノセンコ

コアオーディオ

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたオーディオファイルを処理すると、任意のコードが実行される可能性がある

説明: 状態管理を改善し、メモリ破損の問題を解決しました。

CVE-2021-30775: Ant Security Light-Year Lab の JunDong Xie 氏

コアオーディオ

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のあるオーディオファイルを再生すると、予期せずアプリケーションが終了する可能性があります。

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30776: Ant Security Light-Year Lab の JunDong Xie 氏

コアグラフィックス

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成された PDF ファイルを開くと、予期しないアプリケーションの終了や任意のコードの実行につながる可能性があります。

説明: 状態処理を改善することで競合状態に対処しました。

CVE-2021-30786: リュウザキ

コアテキスト

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある

説明: 入力検証を強化することで、範囲外の読み取りに対処しました。

CVE-2021-30789: トレンドマイクロのMickey Jin氏(@patch1t)、Knownsec 404チームのSunglin氏

クラッシュレポーター

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のあるアプリケーションがルート権限を取得できる可能性がある

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30774: 上海交通大学のソフトウェアセキュリティインプログレスグループ(GOSSIP)のYizhuo Wang氏

CVMS

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のあるアプリケーションがルート権限を取得できる可能性がある

説明: 境界チェックを改善することで、境界外書き込みの問題が解決されました。

CVE-2021-30780: Zoom Video CommunicationsのTim Michaud(@TimGMichaud)

ディルド

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: サンドボックス化されたプロセスはサンドボックスの制限を回避できる可能性がある

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30768: Linus Henze (pinauten.de)

検索

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のあるアプリケーションが「探す」データにアクセスできる可能性がある

説明: 検証を強化し、アクセス権の問題を解決しました。

CVE-2021-30804: Offensive Security の Csaba Fitzl (@theevilbit)

フォントパーサー

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある

説明: 入力検証の改善により整数オーバーフローに対処しました。

CVE-2021-30760: Knownsec 404チームのSunglin

フォントパーサー

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成された tiff ファイルを処理すると、サービス拒否攻撃が発生したり、メモリの内容が漏洩したりする可能性がある。

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30788: トレンドマイクロゼロデイイニシアチブと協力するtr3e

フォントパーサー

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある

説明: 入力検証を強化することでスタック オーバーフローに対処しました。

CVE-2021-30759: hjy79425575(Trend Micro Zero Day Initiative と連携)

アイデンティティサービス

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のあるアプリケーションがコード署名チェックを回避できる可能性がある

説明: チェックを強化することで、コード署名の検証における問題に対処しました。

CVE-2021-30773: Linus Henze (pinauten.de)

画像処理

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: メモリ管理を改善し、解放済みメモリ使用 (use-after-free) の問題を解決しました。

CVE-2021-30802: Google Chrome セキュリティの Matthew Denton

イメージIO

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30779: Baidu Security の Jzhu、Ye Zhang(@co0py_Cat)

イメージIO

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある

説明: 境界チェックを改善することで、バッファ オーバーフローに対処しました。

CVE-2021-30785: Topsec AlphaチームのCFF、トレンドマイクロのMickey Jin(@patch1t)

カーネル

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 任意の読み取りおよび書き込み権限を持つ悪意のある攻撃者がポインタ認証をバイパスできる可能性があります。

説明: 状態管理を改善することでロジックの問題が解決されました。

CVE-2021-30769: Linus Henze (pinauten.de)

カーネル

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: カーネルコード実行をすでに達成している攻撃者は、カーネルメモリの緩和策を回避できる可能性があります。

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: リモート攻撃者が任意のコードを実行できる可能性がある

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-3518

測定

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: libwebp の複数の問題

説明: バージョン 1.2.0 にアップデートすることで複数の問題が解決されました。

CVE-2018-25010

CVE-2018-25011

CVE-2018-25014

CVE-2020-36328

CVE-2020-36329

CVE-2020-36330

CVE-2020-36331

モデルI/O

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成された画像を処理すると、サービス拒否が発生する可能性があります。

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30796: トレンドマイクロのミッキー・ジン氏(@patch1t)

モデルI/O

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある

説明: 入力検証を強化することで、範囲外の書き込みに対処しました。

CVE-2021-30792: トレンドマイクロゼロデイイニシアチブに協力する匿名ユーザー

モデルI/O

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたファイルを処理すると、ユーザー情報が漏洩する可能性がある

説明: 境界チェックの改善により、境界外読み取りに対処しました。

CVE-2021-30791: トレンドマイクロゼロデイイニシアチブに協力する匿名ユーザー

TCC

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のあるアプリケーションが特定のプライバシー設定を回避できる可能性がある

説明: 状態管理を改善することでロジックの問題が解決されました。

CVE-2021-30798: トレンドマイクロのミッキー・ジン氏(@patch1t)

ウェブキット

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: 状態処理を改善することで、型の混乱の問題を解決しました。

CVE-2021-30758: メディア コーディングの Christoph Guttandin

ウェブキット

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: メモリ管理を改善し、解放済みメモリ使用 (use-after-free) の問題を解決しました。

CVE-2021-30795: Google Project Zeroのセルゲイ・グラズノフ

ウェブキット

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のあるWebコンテンツを処理すると、コードが実行される可能性がある

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30797: Google Project Zero の Ivan Fratric 氏

ウェブキット

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: メモリ処理を強化し、複数のメモリ破損の問題を解決しました。

CVE-2021-30799: Google Project Zeroのセルゲイ・グラズノフ

Wi-Fi

対象機種: iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad(第5世代)以降、iPad mini 4以降、iPod touch(第7世代)

影響: 悪意のある Wi-Fi ネットワークに参加すると、サービス拒否や任意のコード実行が発生する可能性があります。

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30800: vm_call、ノジダル・アブドゥルカレク・シュクリ

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like