Appleの最新ソフトウェアアップデートでは、メッセージアプリにおけるAppleのBlastDoorセキュリティを回避した最近のゼロクリック攻撃を可能にする脆弱性が修正されています。iOS 14.8には、実際に悪用されている2つのバグに対するセキュリティ修正が含まれています。この特に危険な攻撃経路を遮断するために、最新のアップデートをインストールすることをお勧めします。
ストーリーのハイライト:
- iOS 14.8は、悪意のあるコードを実行するために使用されるゼロデイ脆弱性を修正しました
- メッセージアプリで危険な脆弱性が悪用された可能性がある
- iPad、Apple Watch、Mac向けの関連アップデートも利用可能
- 古いMacモデルの修正は別途入手可能です
- すべてのユーザーはできるだけ早くアップデートすることを心から推奨します
iOS 14.8のセキュリティ修正をできるだけ早くインストールしてください
Appleは2021年9月13日、iOS 14.8、iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6を一般公開しました。これらのiPhone、iPad、Apple Watch、Macのソフトウェアアップデートには、ハッカーが既に悪用している可能性のある、そしておそらく既に悪用されている危険な脆弱性に対する重要な修正が含まれています。
Appleのソフトウェアに2つのバグが発見されました。1つは軽量な2Dレンダリングを提供するCoreGraphicsサブシステムに存在し、もう1つはSafariブラウザやWebコンテンツのレンダリングに必要なその他のシステム機能で使用されるWebKitレイアウトエンジンに存在します。
CoreGraphicsの問題は、Apple Watch Series 3、iPhone 6s、iPad Air 2、iPad 5、iPad mini 4以降、第7世代iPod touch、およびmacOS Big Surを搭載したすべてのMacコンピュータに影響します。WebKitのバグは、Apple Watchを除くすべてのデバイスに影響します。
Citizen Labによって発見されたCoreGraphicsのバグ(CVE-2021-30860)は、悪意を持って作成されたPDF文書を処理する際に任意のコード実行を引き起こす可能性がありました。Appleによると、この問題は入力検証の強化により整数オーバーフローに対処することで修正されました。
Citizen Labのブログに2021年8月に投稿された記事によると、この脆弱性がAppleのメッセージアプリにおけるBlastdoor保護の回避に利用されたとのことです。このゼロクリック攻撃は、NSOグループのスパイウェア「Pegasus」を用いてバーレーンの活動家のiPhoneをハッキングする際に使用されたことが既に報じられています。
WebKitにも同様の脆弱性が存在し、メモリ管理の改善により修正されています。WebKitの問題は匿名の研究者によるものです(CVE-2021-30858)。
iOS 14.8、iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6のセキュリティコンテンツ
Apple は、アップデートのセキュリティ内容をリストした次のサポート ドキュメントを提供しました。
- iOS 14.8およびiPadOS 14.8のセキュリティコンテンツについて
- watchOS 7.6.2のセキュリティコンテンツについて
- macOS Big Sur 11.6のセキュリティコンテンツについて
- セキュリティアップデート2021-005 Catalinaのセキュリティコンテンツについて
- Safari 14.1.2のセキュリティコンテンツについて
Catalina搭載Mac向けには、CoreGraphicsの問題を修正した「セキュリティアップデート 2021-005 Catalina」のダウンロード版が提供されています。同様に、macOS CatalinaおよびmacOS Mojave向けのWebKitパッチは、Safari 14.1.2アップデートの一部として提供されています。
両方のパッチは、これらのコンピューターのソフトウェア更新機能を通じて入手できます。
iOS 14.8にアップデートすべきでしょうか?
脱獄に依存しないのであれば、一言で言えば、躊躇することなく、はい、です。
できるだけ早くすべてのiPhoneをiOS 14.8にアップデートすることを強くお勧めします。iPad、Apple Watch、Macデバイスも同様です。iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6のアップデートが既に提供開始されています。
アップデートを行わない場合、デバイスはこの非常に危険な攻撃に対して脆弱な状態が続きます。一方、脱獄ユーザーは、iOS 14.8にアップデートしなくても、FORCEDEXIT脱獄ツールをインストールすることで、この危険なエクスプロイトから身を守ることができます。
iOS 14.8、iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6へのアップデート方法
iPhone、iPad、またはiPod touchのオペレーティングシステムソフトウェアをアップデートするには、「設定」→「一般」→「ソフトウェアアップデート」に進みます。デバイスが電源に接続され、Wi-Fi経由でインターネットに接続されていることを確認してください。
Mac コンピュータで macOS ソフトウェアをアップデートするには、システム環境設定アプリを起動し、システム環境設定ウィンドウから「ソフトウェア・アップデート」を選択し、画面の指示に従って最新のアップデートをインストールします。
Apple WatchのwatchOSソフトウェアをアップデートするには、ペアリングしたiPhoneのWatchアプリで「マイウォッチ」→「一般」→「ソフトウェア・アップデート」の順に選択します。アップデートが利用可能な場合はメッセージが表示されます。iPhoneまたはApple Watchのパスコードを求められた場合は、入力してください。
Apple Watchの充電が50%以上であること、そしてペアリングしたiPhoneがWi-Fi経由でインターネットに接続されていることを確認してください。また、iPhoneとApple WatchをBluetoothの通信範囲内に近づけておく必要があります。
watchOSのアップデートには数分から1時間以上かかる場合があることをご承知おきください。とはいえ、ヘビーユーザーの方は、あまり知られていないBluetoothの裏技を使ってApple Watchのソフトウェアアップデートを劇的に高速化してみるのも良いかもしれません。
