Appleは木曜日、iPhoneおよびiPadのほとんどを対象にしたiOS & iPadOS 17.0.1と、iPhone 15および15 Proラインナップ向けのiOS 17.0.2をリリースした。これは、先週月曜日に初めてリリースされて以来、2023年に向けたAppleの重要なソフトウェアアップグレードの最初の公式アップデートとなる。
互換性のある iPhone または iPad にアップデートをロードすると、OTA ソフトウェア アップデート メカニズムでは「iPhone 15 および iPhone 15 Pro モデルのバグ修正と重要なセキュリティ アップデート」のみが示されますが、Apple の「iOS 17.0.1 および iPadOS 17.0.1 のセキュリティ コンテンツについて」サポート ドキュメントを詳しく調べると、いくつかの主要なセキュリティ上の懸念事項が対処されていることがわかります。
カーネル
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代)以降、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第6世代)以降、iPad mini(第5世代)以降
影響:ローカルの攻撃者が権限を昇格できる可能性があります。Appleは、この問題がiOS 16.7より前のバージョンのiOSで積極的に悪用されている可能性があるという報告を認識しています。
説明: チェックを強化することでこの問題を解決しました。
CVE-2023-41992: トロント大学マンク校のシチズンラボのビル・マルザック氏とGoogleの脅威分析グループのマディ・ストーン氏
安全
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代)以降、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第6世代)以降、iPad mini(第5世代)以降
影響:悪意のあるアプリが署名検証を回避できる可能性があります。Appleは、この問題がiOS 16.7より前のバージョンのiOSで積極的に悪用されている可能性があるという報告を認識しています。
説明: 証明書検証の問題が解決されました。
CVE-2023-41991: トロント大学マンク校のシチズンラボのビル・マルザック氏とGoogleの脅威分析グループのマディ・ストーン氏
ウェブキット
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代)以降、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第6世代)以降、iPad mini(第5世代)以降
影響:Webコンテンツを処理すると、任意のコードが実行される場合があります。Appleは、この問題がiOS 16.7より前のバージョンのiOSで積極的に悪用されている可能性があるという報告を認識しています。
説明: チェックを強化することでこの問題を解決しました。
WebKit Bugzilla: 261544
CVE-2023-41993: トロント大学マンク校のCitizen LabのBill Marczak氏とGoogleの脅威分析グループのMaddie Stone氏
このパッチは、The Citizen Lab の Bill Marczak 氏が発見した CVE-2023-41992 と呼ばれるカーネルの脆弱性 (iOS および iPadOS 16.7 より前のバージョンで昇格された権限を提供できたもの)、同じく Marczak 氏が発見した CVE-2023-41991 と呼ばれるセキュリティの脆弱性 (アプリが署名許可をバイパスできる可能性があったもの)、そして最後に、同じく Marczak 氏が発見した CVE-2023-41993 と呼ばれる WebKit の脆弱性 (Web コンテンツの処理によって任意のコード実行が可能だったもの) に対するものと思われます。
これらのセキュリティパッチの重要性から、ほとんどのiPhoneおよびiPadユーザーは、デバイスの「設定」→「一般」→「ソフトウェア・アップデート」にアクセスして最新のアップデートをダウンロードしてインストールすることをお勧めします。画面の指示に従ってソフトウェアアップデートをインストールしてください。中速のインターネット接続であれば、数分で完了します。
しかし、あなたが普通の iPhone や iPad ユーザーではなく、サードパーティのハックに頼りたい場合、Dopamine jailbreak の主任開発者 Lars Fr ö der ( @opa334dev ) は、署名検証バイパス バグが、TrollStore による永久署名を可能にした CoreTrust バグと性質が似ているため、iOS & iPadOS 16.7 および 17.0.1 を避けることを提案しています。
もちろん、 Fr ö der氏は、このバグが本当にそれほど強力かどうかはまだ分からないと警告しましたが、確認されるまでは安全策を講じる方が賢明です。何かが起こるまでは懐疑的な姿勢を保つのが、おそらく安全な賭けでしょう。
明日からiPhone 15、15 Plus、15 Pro、15 Pro Maxの購入予定者が端末の受け取りを開始すると、モバイルオペレーティングシステムに同様の変更が加えられたiOS 17.0.2がすぐに利用できるようになります。
これらのアップデートには、Mac コンピューター用の macOS 13.6 Ventura や Apple Watch 用の watchOS 10.0.1 などの同様のアップデートも追加されました。
iOS または iPadOS 17.0.1 にアップデートしましたか? アップデートした理由、またはアップデートしていない理由を、ぜひ下のコメント欄で教えてください。
