日々いろいろなソフトウェアの更新版が提供されます。
2022/10/24に、AppleがiOS 16.1とiPadOS 16にセキュリティパッチをリリースしました。
このなかには多数の脆弱性の修正が含まれています。
- 対象製品
iPhone 8以降、iPad Pro (全モデル)、iPad Air第3世代以降、iPad第5世代以降、iPad
mini第5世代以降、といった感じで対象範囲は広いです。 - 影響
ファイルシステムの保護された部分を変更できる可能性、カーネル権限で任意のコードを実行できる可能性、接続されたAirPodsのペアを使用してアプリがオーディオを録音できる可能性、アプリが予期せず終了する可能性、アプリがユーザーの機密データにアクセスできる可能性、といったように大きな影響のある問題が修正されています。
多くの修正は実際に悪用されているという情報はまだないもののようです。
しかしこれらのうちの1つであるCVE-2022-42827については、こう書かれています。
「Apple is aware of a report that this issue may have been actively exploited.」
積極的に悪用された可能性があるという話です。
これは入力に関する境界チェックが十分ではなかったという問題でした。
ソフトウェアが現在のメモリバッファーの境界外にデータを書き込むことを許してしまう問題です。
この問題が存在する状態の場合、データの破損、アプリケーションのクラッシュ、コードの実行が発生する可能性があります。
すぐにパッチの適用が必要に思います。
Appleに限った話ではありませんが、頻度の高いパッチ適用が重要になってきていると感じます。
適用していますよ、という方も多いことと思いますが、その頻度というかタイムリーさが明暗を分けることになりそうです。
できることはやっていこうと思いました。
参考記事(外部リンク):About the security content of iOS 16.1 and iPadOS 16
support.apple.com/en-us/HT213489
この記事をシェア |
---|
一緒によく読まれている記事
-
サイバー領域
- GitGuardianのBlog翻訳:トヨタ、GitHubでシークレットキーを誤って公開し、データ流出被害に
- 10月7日、トヨタは同社が提供するサービス「T-Connect」のソースコードのコピーが5年にわたって外部から参照できる状態にあったことを発表。ソースコードには、29万件を超える...
-
サイバー領域
- ソースコードに書き込まれた大量のシークレット事案(インシデント)について調査、優先順位付け、修復を行う
- この記事は、アプリケーション・セキュリティチームを対象に、ソースコードに書き込まれたシークレット事案(インシデント)の優先順位付け、調査、修復を効果的かつ大規模に実践する方法につ...