Apple、「詳細は近日公開予定」としていたセキュリティ更新の詳細を公開

[佐藤由紀子，ITmedia]

　米Appleは3月25日（現地時間）、21日に一連のセキュリティ更新を配信した際、「詳細は近日公開予定」としていた“詳細”を公開した。

　対処した脆弱性は米GoogleのProject Zeroチーム、ニック・ギャロウェイ氏が報告したもので、CVE IDはCVE-2024-1580。MITREによると、フレームサイズの大きい動画をデコードする際に発生する可能性のあるdav1d AV1デコーダの整数オーバーフローにより、AV1デコーダ内のメモリ破損が発生する可能性があるという。

　Appleによると、これを悪用すると、画像処理の際に任意のコードが実行される可能性があったが、入力検証を改善することでこの問題は解決したという。「積極的に悪用された可能性」はなかったようだ。

（本稿執筆現在、まだ日本語になっていない）

　21日にはiOS以外にも「iPadOS 17.4.1」「iOS 16.7.7」「iPadOS 16.7.7」「visionOS 1.1.1」が公開されており、いずれも更新内容はこの脆弱性の対処だった。

　今回、詳細の公開が遅れた理由についての説明はないが、一般にはアップデートが緊急で必要になった場合、ユーザーがアップデートを適用する前にセキュリティ上の問題の詳細を公開すると悪用されるリスクがあるか、脆弱性の対処が完了していない場合などが考えられる。