「iOS」と「iPadOS」の「15.3」配信開始 SafariのID追跡問題や悪用された可能性のある脆弱性の対処など
「iOS 15.3」「iPad OS 15.3」「watchOS 8.4」「macOS Big Sur 11.6.3」「macOS Monterey 12.2」「tvOS 15.3」がリリースされた。iOSはバグ修正とセキュリティ更新のみ。SafariのID追跡問題や「既に悪用された可能性のある」問題など10件の修正だ。
米Appleは1月26日(現地時間)、「iOS 15.3」「iPad OS 15.3」「watchOS 8.4」「macOS Big Sur 11.6.3」「macOS Monterey 12.2」「tvOS 15.3」をリリースした。いずれも15日にセキュリティ研究者が公表したSafariブラウザのプライバシーに関連するバグの修正を含む。
本稿ではiOSのアップデートについて紹介する。
iOS 15.3のアップデートはバグ修正とセキュリティアップデートのみで、新機能の追加などはないが、「悪用された可能性のある」脆弱性の修正を含む。
修正される脆弱性は10件。そのうち「CVE-2022-22587」は、悪意あるアプリがカーネル権限で任意のコードを実行できる可能性があるというもの。入力検証の改善でメモリ破損の問題に対処した。
「CVE-2022-22594」は、Appleの説明は「Webサイトは機密性の高いユーザー情報を追跡できる場合がある」となっている。
この脆弱性を報告したFingerprintJSによると、これはAppleのWebブラウザ「Safari 15」での問題で、任意のWebサイトでユーザーのアクティビティを追跡し、Googleアカウントを識別するためのIDを確認できてしまうというものだ。iOSだけでなくmacOSのSafariでも同じ問題があった。Macでは別のブラウザを使えば問題が回避できたが、iOSの場合はAppleがサードパーティにもWebブラウザでWebKitを使うことを要求しているため、脆弱性が修正されるまで問題を回避できなかった。
関連記事
- 「Safari 15」にWeb履歴やGoogleアカウント情報がリークする可能性のあるバグ 修正はまだ
AppleのWebブラウザ「Safari 15」に、ユーザーのWeb履歴や個人情報がリークする恐れのあるバグがあるとFingerprintJSが公表した。iOSとiPadOSの場合はAppleが修正更新するまで回避対策がない。 - 「iOS」と「iPadOS」の「15.2.1」配信開始 悪用方法公表済みのHomeKit脆弱性対処など
Appleが「iOS 15.2.1」および「iPad OS 15.2.1」の配信を開始した。HomeKitアプリのサービス拒否(DoS)を発生させる恐れのある脆弱性に対処した。この脆弱性については発見した研究者が悪用方法を公開済みだ。 - 「iOS 15.2」配信開始 「Apple Music」の新プランやアプリによるアクセスを把握できるレポートなどの新機能
Appleは「iOS 15.2」「iPad OS 15.2」「watchOS 8.3」「tvOS 15.2」「HomePod Software version 15.2」の配信を開始した。iOSでは、月額480円の「Apple Music Voiceプラン」や「Appプライバシーレポート」が利用可能になる。 - iOS、iPadOS、watchOS、macOSの緊急更新 “既に悪用された可能性のある脆弱性”を修正
Appleは“既に悪用された可能性のある脆弱性”を修正するアップデートをiPhone、iPad、Apple Watch、Mac向けにリリースした。これらの脆弱性をAppleに報告したCitizen Labは、至急更新することを強く勧めている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.