アップルがiOS 15.3をリリース「活発に悪用された可能性がある」iPhoneの脆弱性を修正

Apple(アップル)は米国時間1月26日、iOS 15.3とmacOS Monterey 12.2のリリースにより、数十件のセキュリティ問題を修正した。

iOS 15.3では、同社が活発に悪用された恐れがあるとしている不具合を含む、合計10件のセキュリティバグが修正されている。CVE-2022-22587として追跡されているこの脆弱性は、IOMobileFrameBuffer(デバイスのメモリが画面表示を処理する方法を開発者が制御できるようにするカーネル拡張)のメモリ破壊バグで、悪意のあるアプリによるカーネルコードの実行につながる可能性がある。

また、AppleはmacOS Monterey 12.2をリリースした。ユーザーの最近のブラウジング履歴やGoogleアカウント情報が、Safari 15やサードパーティ製のウェブブラウザから流出する可能性があるというWebKitの不具合を研究者が発見し公表していたが、macOS 12.2ではそのバグに対する修正が含まれている。

この脆弱性は、ブラウザのフィンガープリンティングと不正行為の検出サービスを提供するFingerprintJSによって最初に発見されたもので、ブラウザにデータを保存するアプリケーションプログラミングインターフェース(API)であるIndexedDBのAppleによる実装に不具合があったという。

CVE-2022-22594として追跡されているこの不具合は、IndexedDBを使用しているウェブサイトが自分のドメインのみならず、ユーザーのブラウジングセッション中に他のウェブサイトが生成したIndexedDBデータベース名にアクセスすることを可能にし、ひいては、ユーザーが別のタブやウィンドウで訪れた他のウェブサイトを追跡することも可能にする。また、IndexedDBのデータベース名にユーザー固有の識別子を使っているGoogleなどのウェブサイトでは、攻撃者がユーザーのGoogleアカウント情報にアクセスできる可能性があるとFingerprintJSは警告している。

また、iOS 15.3には、アプリがルート権限を取得する可能性があるセキュリティ問題、カーネル権限で任意のコードを実行する問題、およびアプリがiCloudを通じてユーザーのファイルにアクセスできる問題の修正が含まれている。

一方、macOS Monterey 12.2では、合計13件の脆弱性が修正されている。後者は、以前に報告されたSafariでのスクロールの問題を修正し、MacBookにスムーズなスクロールをもたらすことも約束している。

また、レガシーバージョンのmacOS Big SurおよびCatalinaのセキュリティ修正プログラムもリリースされた。

今回の最新セキュリティアップデートの公開は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性があるiOSおよびiPadOSの脆弱性が確認されたのを受けて、それを修正するためにAppleがiOS 15.2.2をリリースしてからわずか2週間後に行われた。

関連記事:アップルがAirTagストーカー問題に対応、「Personal Safety User Guide」を改定

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。