ニュース
Apple製品に複数の脆弱性 ~macOSやiOS/iPadOSといったOS製品や「Xcode」が対象
修正版へのアップデートを
2019年9月27日 14:31
米Appleは、自社製ソフトで修正した脆弱性の内容を発表した。macOSやiOS、iPadOS、watchOS、tvOSといったOSのほか、開発環境「Xcode」やWebブラウザー「Safari」など、対象となるソフトは多岐にわたる。
macOS
デスクトップ向けOS「macOS」では、「macOS Mojave 10.14.6 Supplemental Update 2」、「Security Update 2019-005 High Sierra」、「Sierra, Security Update 2019-005 Sierra」がリリースされている。
修正された脆弱性は、“Foundation”における入力検証の不備で範囲外読み取りが発生する欠陥(CVE-2019-8641)のみ。リモートから予期しないアプリの終了や任意コードの実行を引き起こす可能性がある。
iOSとiPadOS
「iOS 13」で修正された脆弱性は、CVE番号ベースで9件。メモリ破損や任意コードの実行、ユーザー情報の漏洩、アドレスバーのスプーフィング(なりすまし)に悪用される恐れのある脆弱性が修正された。
続いてリリースされた「iOS 13.1」と 「iPadOS 13.1」でも、アクセシビリティ機能“VoiceOver”を介してロック画面から連絡先にアクセスできてしまう不具合(CVE-2019-8775)などが修正されているという。
また、“iPhone 5s”や“iPhone 6”といった古いiOSデバイスにも、セキュリティアップデート「iOS 12.4.2」が提供されている。
watchOS
「watchOS 5.3.2」(Apple Watch Series 1/2)と「watchOS 6」(Apple Watch Series 3以降)では、CVE番号ベースで1件の脆弱性が修正された。「macOS」と同様、“CVE-2019-8641”への対策が行われている。
tvOS
「tvOS 13」でも、CVE番号ベースで1件の脆弱性が修正された。機密情報の漏洩につながるキーボードの脆弱性(CVE-2019-8704)が修正された。
また、「Apple TV Software 7.4」でもセキュリティ関連の修正が行われているが、CVE番号の割り振られたものはない。
Xcode
「Xcode 11.0」では、CVE番号ベースで7件の脆弱性が修正された。入力検証の不備やメモリ破損の問題により、任意のコードが実行される欠陥などが対策されている。
Safari
「Safari 13」で1件、「Safari 13.0.1」で2件の脆弱性が修正された(いずれもCVE番号ベース)。ユニバーサルクロスサイトスクリプティングやユーザーインターフェイスのなりすまし、プライベートブラウジングの履歴漏洩といった問題が解決された。