SBAPP

【iPhone】探すアプリのデータに不正アクセスできる問題など37の脆弱性がiOS14.7で修正

先日リリースされたiOS14.7アップデートで悪意あるアプリケーションが探すアプリのデータにアクセスできる問題など、CVE-ID基準で37もの脆弱性、セキュリティコンテンツのアップデートが行われたことが明らかになりました。

iOS14.7配信後には公開されなかったセキュリティドキュメント

iOSアップデートでは脆弱性(セキュリティ問題)の対処が行われることが多く、先日リリースされたiOS14.7においても脆弱性の対処、セキュリティアップデートが含まれています。

通常はiOSアップデート配信から数時間以内に詳細を明記したセキュリティドキュメントが公開されますが、今回は「詳細は後日公開」といった形で公開されていませんでした。

探すアプリのデータに不正にアクセスできる恐れなどが修正

AppleはiOS14.7アップデートを配信した翌日、2021年7月21日付でiOS14.7のセキュリティドキュメントを公開し、今回のアップデートでは悪意あるアプリケーションが探すアプリのデータにアクセスできる問題などに対処したことを明らかにしました。

Find My
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: A malicious application may be able to access Find My data
Description: A permissions issue was addressed with improved validation.
CVE-2021-30804: Csaba Fitzl (@theevilbit) of Offensive Security

HTMLレンダリングエンジン「WebKit」等で37の脆弱性

探すアプリ以外にも様々な脆弱性が修正されており、悪意のあるWi-Fiネットワークに参加すると任意のコードが実行される可能性、Safariなどブラウザのレンダリングエンジン「WebKit」で悪意のあるコンテンツを処理すると任意のコードが実行される可能性など、CVE-ID基準で37もの脆弱性の修正が行われています。

WebKit
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution
Description: Multiple memory corruption issues were addressed with improved memory handling.
CVE-2021-30799: Sergei Glazunov of Google Project Zero

米サイバーセキュリティー・インフラセキュリティー庁(CISA)は、悪意のある攻撃者がこれらの脆弱性を使ってデバイスを制御する恐れがあるとも警告しているので、特別な事情等が無い限りはiOS14.7アップデートを適用した方が安心です。

Apple has released security updates to address vulnerabilities in multiple products. An attacker could exploit some of these vulnerabilities to take control of an affected device.

著者情報

Ryo
こんにちは、「SBAPP」を運営しているRyoです。

Apple製品はiPhone 3GSから使い始め、国内でスマートフォンが急速に普及し始めた時期、iPhone 5が展開された頃から、主にiPhoneやiOSなどの使い方や不具合情報を10年以上にわたり発信しています。

現在はiPhoneやiOSの情報だけでは無く、SNSプラットフォームでの障害や不具合、フィッシング詐欺メール・SMSに関する注意喚起など、広範なテーマにわたる記事を書いています。

過去には「電気の見える化」に関するウェブアプリケーション開発、大規模システムの保守業務に従事していたことがあり、それらの経験を活かしてSBAPPを含むブログメディア等を運営しています。記事が少しでもお役に立てたら幸いです。

コメントを投稿する(承認後に反映されます)

*

Return Top