iOSの14.4.2と12.5.2配信 「悪用された可能性のあるWebKitの重要なセキュリティアップデート」

[佐藤由紀子，ITmedia]

　米Appleは3月26日（現地時間）、「iOS 14.4.2」「iPadOS 14.4.2」「iOS 12.5.2」「watchOS 7.3.3」をリリースした。すべて同じWebKit関連の脆弱性を修正するセキュリティアップデートだ。Appleは、「この脆弱性が悪用された可能性があるという報告を認識している」としている。

iOSのアップデート画面

watchOSのアップデート画面

　このWebKitの脆弱性「CVE-2021-1879」を利用して悪意を持って作成されたWebコンテンツを処理すると、「ユニバーサルクロスサイトスクリプティング」が発生する可能性がある。ユニバーサルクロスサイトスクリプティングはクロスサイトスクリプティング攻撃の一種で、安全なはずのWebページのセッションに侵入できてしまうため、非常に危険だ。

　この脆弱性は、米Googleのセキュリティチームが発見し、報告した。

　対象となるのは、iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch（第6世代）、iPhone 6s以降、iPad Pro（全機種）、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch（第7世代）、Apple Watch Series3以降。

　Appleは今月8日にもWebKit関連の脆弱性を修正するセキュリティアップデートをリリースしている。