先日iOS端末向けにiOS12.1.3アップデートがリリースされましたが、セキュリティアップデートの詳細が発表されています。今回のアップデートでは、CVE-ID基準で31件もの脆弱性が修正されている模様です。
パスワード自動入力の脆弱性などが修正
Appleが公開したAbout the security content of iOS 12.1.3によると、“自動入力されたパスワードを消去しても再び自動入力される問題”や“Safariで悪意あるWebコンテンツを処理すると、クロスサイトスクリプティングの攻撃に遭う恐れがある問題”などが修正されたようです。
Keyboard
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: Password autofill may fill in passwords after they were manually cleared
Description: An issue existed with autofill resuming after it was canceled. The issue was addressed with improved state management.
CVE-2019-6206: Sergey Pershenkov
——————–
キーボード
対象となるデバイス:iPhone 5s以降、iPad Air以降、iPod touch(第6世代)
影響:自動入力されたパスワードを手動で消去しても、パスワードが自動入力される場合がある。
説明:自動入力がキャンセルされた後に再開される問題がありました。この問題はステート管理を改善することで改善されました。
CVE-2019-6206: Sergey Pershenkov
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: Password autofill may fill in passwords after they were manually cleared
Description: An issue existed with autofill resuming after it was canceled. The issue was addressed with improved state management.
CVE-2019-6206: Sergey Pershenkov
——————–
キーボード
対象となるデバイス:iPhone 5s以降、iPad Air以降、iPod touch(第6世代)
影響:自動入力されたパスワードを手動で消去しても、パスワードが自動入力される場合がある。
説明:自動入力がキャンセルされた後に再開される問題がありました。この問題はステート管理を改善することで改善されました。
CVE-2019-6206: Sergey Pershenkov
Safari Reader
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: Processing maliciously crafted web content may lead to a cross site scripting attack
Description: A cross-site scripting issue existed in Safari. This issue was addressed with improved URL validation.
CVE-2019-6228: Ryan Pickren (ryanpickren.com)
——————–
Safari Reader
対象となるデバイス:iPhone 5s以降、iPad Air以降、iPod touch(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、クロスサイトスクリプティング攻撃に遭う恐れがある。
説明:Safariに、クロスサイトスクリプティングの脆弱性がありました。この問題はURLの検証を改善することで解決されました。
CVE-2019-6228:ライアン・ピックレン氏(ryanpickren.com)
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: Processing maliciously crafted web content may lead to a cross site scripting attack
Description: A cross-site scripting issue existed in Safari. This issue was addressed with improved URL validation.
CVE-2019-6228: Ryan Pickren (ryanpickren.com)
——————–
Safari Reader
対象となるデバイス:iPhone 5s以降、iPad Air以降、iPod touch(第6世代)
影響:悪意を持って作成されたWebコンテンツを処理すると、クロスサイトスクリプティング攻撃に遭う恐れがある。
説明:Safariに、クロスサイトスクリプティングの脆弱性がありました。この問題はURLの検証を改善することで解決されました。
CVE-2019-6228:ライアン・ピックレン氏(ryanpickren.com)
これらはセキュリティアップデートのごく一部で、他にも“悪意のあるアプリがサンドボックス構造をサンドボックスを破って外部で実行する可能性”などを含む、その他29件の脆弱性が修正されています。
SafariのレンダリングエンジンでもあるWebKitに関する脆弱性も多く修正されているので、ここ最近の悪質なウェブサイト(フィッシング詐欺サイト等)の対策としても、iOS12.1.3にアップデートしたほうが安心です。
コメントを投稿する(承認後に反映されます)