Appleは月曜日、対応するiPhoneおよびiPad向けにiOS & iPadOS 15.2ソフトウェアアップデートをリリースしました。今回のリリースのセキュリティコンテンツに関する注記を見ると、Appleのセキュリティチームが比較的多くのセキュリティ脆弱性の修正に多くの時間を費やしたことが明らかです。
実際、Kunlun Lab CEO @mj0011secが今日の午後に共有したツイートによると、iOS および iPadOS 15.2 では、もともと Pangu チームが TianfuCup 2021 で利用した一連のエクスプロイトが修正されているようです。
もし記憶を呼び覚ましたいなら、私たちがお手伝いします。Panguチームは、ハッキングイベント初日にこれらのエクスプロイトを使って、iOS 15を搭載したiPhone 13 Proのリモートジェイルブレイクを実演しました。Appleの新製品発表のタイムラインを考えると、この偉業は印象的だっただけでなく、Panguチームは33万ドルという高額な賞金を獲得しました。
iOSおよびiPadOS 15.2のセキュリティノートでは、以下のCVEにおいて、PanguチームまたはPanguチームの個々のメンバーが少なくとも6回言及されています。以下の各CVEの説明は、攻撃者がAppleのモバイルプラットフォーム上で任意のコード実行を行うことができる状況について説明しています。
- IOモバイルフレームバッファ: CVE-2021-30983
- IOモバイルフレームバッファ: CVE-2021-30985
- IOモバイルフレームバッファ: CVE-2021-30991
- カーネル: CVE-2021-30927
- カーネル: CVE-2021-30980
- WebKit: CVE-2021-30952
多くの脱獄ユーザーは、iOS 9が全盛だった頃に一般向けに脱獄アプリを公開したPanguチームを覚えています。それ以来、チームの中核となる価値観は、脱獄アプリの公開から、非公開の研究と責任ある情報開示へと変化しました。つまり、彼らがもはや脱獄アプリを一般向けに公開していないのは、まさにそのためです。
Apple が新しい 15.2 リリースで iOS および iPadOS 15 の潜在的に有用な脆弱性をいくつか修正したことは、熱心なジェイルブレーカーにとっては残念なことと思われるが、デバイスを更新した非ジェイルブレーカーにとっては朗報である。これは、彼らの端末が今日までよりも潜在的な悪意のある攻撃に対してより安全になったことを意味するからである。
本稿執筆時点では、iOS 15およびiPadOS 15向けの公開脱獄アプリはまだ公開されておらず、公開時期も未定です。iOS 15の脱獄に意欲的な方は、本日のアップデートは避け、可能な限り低いファームウェアにしておくことをお勧めします。そうすれば、脱獄アプリが公開された際に脱獄できる可能性が高まります。
新しいiOS & iPadOS 15.2ソフトウェアアップデートに統合されたセキュリティパッチについて、どう思われますか?ぜひ下のコメント欄でご意見をお聞かせください。
