【iPhone】探すアプリのデータに不正アクセスできる問題など37の脆弱性がiOS14.7で修正

先日リリースされたiOS14.7アップデートで悪意あるアプリケーションが探すアプリのデータにアクセスできる問題など、CVE-ID基準で37もの脆弱性、セキュリティコンテンツのアップデートが行われたことが明らかになりました。

iOS14.7配信後には公開されなかったセキュリティドキュメント

iOSアップデートでは脆弱性（セキュリティ問題）の対処が行われることが多く、先日リリースされたiOS14.7においても脆弱性の対処、セキュリティアップデートが含まれています。

通常はiOSアップデート配信から数時間以内に詳細を明記したセキュリティドキュメントが公開されますが、今回は「詳細は後日公開」といった形で公開されていませんでした。

探すアプリのデータに不正にアクセスできる恐れなどが修正

AppleはiOS14.7アップデートを配信した翌日、2021年7月21日付でiOS14.7のセキュリティドキュメントを公開し、今回のアップデートでは悪意あるアプリケーションが探すアプリのデータにアクセスできる問題などに対処したことを明らかにしました。

Find My
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: A malicious application may be able to access Find My data
Description: A permissions issue was addressed with improved validation.
CVE-2021-30804: Csaba Fitzl (@theevilbit) of Offensive Security

HTMLレンダリングエンジン「WebKit」等で37の脆弱性

探すアプリ以外にも様々な脆弱性が修正されており、悪意のあるWi-Fiネットワークに参加すると任意のコードが実行される可能性、Safariなどブラウザのレンダリングエンジン「WebKit」で悪意のあるコンテンツを処理すると任意のコードが実行される可能性など、CVE-ID基準で37もの脆弱性の修正が行われています。

WebKit
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution
Description: Multiple memory corruption issues were addressed with improved memory handling.
CVE-2021-30799: Sergei Glazunov of Google Project Zero

米サイバーセキュリティー・インフラセキュリティー庁（CISA）は、悪意のある攻撃者がこれらの脆弱性を使ってデバイスを制御する恐れがあるとも警告しているので、特別な事情等が無い限りはiOS14.7アップデートを適用した方が安心です。

Apple has released security updates to address vulnerabilities in multiple products. An attacker could exploit some of these vulnerabilities to take control of an affected device.