Last Updated on 2024-07-06 08:14 by 門倉 朋宏
Appleは最新のiOSおよびiPadOSのセキュリティパッチで、4つの脆弱性に対処しました。この中には、既に攻撃者によって悪用されている可能性があるとされる2つのゼロデイ脆弱性が含まれています。これらの脆弱性は、保護されたカーネル内のデータにアクセスする可能性があるとされています。Appleはこれらの問題を改善された検証によって修正しましたが、具体的な詳細は公開していません。
CVE-2024-23225とCVE-2024-23296が今回のアップデートで修正されたゼロデイ脆弱性です。CVE-2024-23225は、カーネルの読み書き機能を既に持っている攻撃者がカーネルメモリ保護を回避することを可能にします。一方、CVE-2024-23296は、AppleのリアルタイムオペレーティングシステムであるRTKitに影響を与え、同様にカーネルメモリ保護を回避することが可能です。
これらの脆弱性は、iOSおよびiPadOSのバージョン17.4で修正されましたが、CVE-2024-23225はiPhone 8、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ第1世代など、Appleの最新のOSリリースによってサポートされていないデバイスにも影響を与えるため、これらのデバイス用にもパッチが開発されました。
また、iOSおよびiPadOS 17.4のアップデートには、他の2つの軽微な脆弱性に対する修正も含まれています。これらの脆弱性の一つは、アプリに機密性の高い位置情報を露呈する可能性があるCVE-2024-23243で、もう一つは、ロックされたプライベートブラウジングが有効な場合にタブグループを切り替える際に、一時的にユーザーのロックされたタブが表示される可能性があるCVE-2024-23256です。
さらに、EUのデジタル市場法に基づく命令に従い、Appleはユーザーにブラウザエンジンの選択とアプリのダウンロード元を選択させるための更新を行いました。これにより、EU内では、ユーザーはアップデート後にデフォルトのブラウザを選択する新しいセットアップ画面を見ることになります。また、国外に長期間滞在すると、新しい代替アプリマーケットプレイスのインストールを含む一部の機能へのアクセスが失われる可能性があるとAppleは述べています。
【ニュース解説】
Appleは最近、iOSおよびiPadOSのセキュリティアップデートをリリースし、4つの脆弱性に対処しました。この中には、保護されたカーネル内のデータにアクセスする可能性があるとされる2つのゼロデイ脆弱性が含まれています。これらの脆弱性は、攻撃者がカーネルの読み書き機能を既に持っている場合に、カーネルメモリ保護を回避することを可能にします。Appleはこれらの問題を改善された検証によって修正しましたが、具体的な詳細は公開していません。
CVE-2024-23225とCVE-2024-23296が今回のアップデートで修正されたゼロデイ脆弱性です。CVE-2024-23225は、カーネルの読み書き機能を既に持っている攻撃者がカーネルメモリ保護を回避することを可能にします。一方、CVE-2024-23296は、AppleのリアルタイムオペレーティングシステムであるRTKitに影響を与え、同様にカーネルメモリ保護を回避することが可能です。
これらの脆弱性は、iOSおよびiPadOSのバージョン17.4で修正されましたが、CVE-2024-23225はiPhone 8、iPhone X、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ第1世代など、Appleの最新のOSリリースによってサポートされていないデバイスにも影響を与えるため、これらのデバイス用にもパッチが開発されました。
また、iOSおよびiPadOS 17.4のアップデートには、他の2つの軽微な脆弱性に対する修正も含まれています。これらの脆弱性の一つは、アプリに機密性の高い位置情報を露呈する可能性があるCVE-2024-23243で、もう一つは、ロックされたプライベートブラウジングが有効な場合にタブグループを切り替える際に、一時的にユーザーのロックされたタブが表示される可能性があるCVE-2024-23256です。
さらに、EUのデジタル市場法に基づく命令に従い、Appleはユーザーにブラウザエンジンの選択とアプリのダウンロード元を選択させるための更新を行いました。これにより、EU内では、ユーザーはアップデート後にデフォルトのブラウザを選択する新しいセットアップ画面を見ることになります。また、国外に長期間滞在すると、新しい代替アプリマーケットプレイスのインストールを含む一部の機能へのアクセスが失われる可能性があるとAppleは述べています。
このアップデートは、ユーザーのセキュリティとプライバシーを保護するための重要なステップですが、Appleが提供する情報の少なさは、セキュリティコミュニティやユーザーにとっては不透明さをもたらします。また、EUのデジタル市場法に基づく変更は、ユーザーにより多くの選択肢を提供する一方で、長期的にはアプリエコシステムやデバイスのセキュリティにどのような影響を与えるかは未知数です。これらの変更が、他の地域や国での法律や規制にどのように影響を与えるかも、注目されるポイントです。
from Apple's trademark tight lips extend to new iPhone, iPad zero-days.
“Apple、重大なセキュリティパッチをリリース:ゼロデイ脆弱性対策とEU法令対応の二重の挑戦” への1件のコメント
Appleの最新のiOSとiPadOSアップデートに関するこの情報は、私たち電気店経営者にとって大変重要です。私のお店では、さまざまな電子機器を扱っており、お客様からの質問に答えるためには、最新の技術情報を常に把握しておく必要があります。特に、セキュリティ関連のアップデートは、お客様のデバイスを安全に保つために非常に重要です。今回のアップデートで修正された脆弱性は、既に攻撃者に悪用されている可能性があるということで、早急に対処する必要がありました。
ただし、Appleが具体的な詳細を公開していないという点は少し気になります。私たちがお客様に対して具体的な説明をするためには、それなりの情報が必要ですからね。セキュリティは透明性が大切だと思いますが、企業が情報を公開することには慎重である必要もあるので、難しいところです。
また、EUのデジタル市場法に基づく変更も注目のポイントです。ユーザーがブラウザエンジンやアプリのダウンロード元を選択できるようになるというのは、消費者の選択肢を広げる良い動きだと思います。しかし、これがアプリエコシステムやデバイスのセキュリティにどのような影響を与えるかは、今後