今すぐiOS 14.5.1にアプデしたほうがいいよ!

  • 83,197

今すぐiOS 14.5.1にアプデしたほうがいいよ!
Image: Ming Yeung (Getty Images)

即アプデを。

Apple(アップル)は先月のアップデートで、App Tracking Transparency機能を実装したiOS/ iPadOS 14.5に含まれる2つの重大な脆弱性を急いで修正しました。どちらの脆弱性も、悪意のある第三者がリモートでコードを実行することを可能にし、影響を受けたデバイスは乗っ取られる可能性があります。つまり、早急にデバイスをアップデートする必要があるのです。

Ars Technicaによると月曜日に配布された14.5.1アップデートでは、SafariやApp Storeなどのアプリケーションでウェブコンテンツのレンダリングを制御する、レンダリングソフトウェアであるWebkitに存在する2つのゼロデイ脆弱性(すでに悪用されている可能性があります)を修正しています。これらのバグは「CVE-2021-30663」および「CVE-2021-30665」とアップデートにて定義づけられており、この2つの脆弱性は同日にリリースされたMacOS 11.3.1でも修正されています。

どちらもその影響は同じで、アップルはサイバー攻撃に使われた可能性があることを認識しています。

悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。Appleはこの問題が積極的に悪用された可能性があるという報告を認識しています。

アップルによると2つの脆弱性のうち1つは「メモリ破壊」を引き起こし、これは中国企業のQihoo 360の研究者から指摘を受けて「状態管理の改善」を行いました。もう1つの脆弱性は匿名のエンジニアがアップルに報告したもので、「整数オーバーフローに対処した」としています。

ThreatPostによると、アップルは古いデバイス向けのiOS 12.5.3のアップデートでも同様に「任意のコード実行」につながる問題(CVE-2021-30666)を修正しました。主要なゼロデイ脆弱性を記録しているGoogle(グーグル)のProject Zeroには今年に入ってから21件の報告があり、そのうち7件がアップル製品に影響を与え、また1件を除いてすべてがWebkitに関連しています。なおMicrosoft(マイクロソフト)のゼロデイ脆弱性は8件、Google(グーグル)は5件、Adobe(アドビ)は1件となっています。

14.5.1の別のトピックとしては、以前にリリースされた「App Tracking Transparency」機能のバグが修正されています。この機能はどのアプリケーションがどのデータにアクセスできるかをユーザーがコントロールできるようにするもので、Facebook(フェイスブック)との間で騒動となっています。なお、設定メニューにあるこの機能のトグルボタンが不適切にグレーアウトしたままになっている別のバグはまだ修正されていないようです。

「今回のアップデートでは、設定で『アプリからの追跡要求を許可』を以前に無効にしていた一部のユーザーが、再度有効にしてもアプリからのメッセージを受け取れない場合があるという、App Tracking Transparencyに関する問題が修正されています」とアップルは述べています。「このアップデートには重要なセキュリティアップデートも含まれており、すべてのユーザーに推奨されます」。

    あわせて読みたい