ニュース
「WebKit」にゼロデイ脆弱性 ~「macOS Big Sur 11.3.1」や「iOS/iPadOS 14.5.1」などが公開
悪意を持って作成されたWebコンテンツを処理するだけで、任意のコードが実行されてしまう可能性
2021年5月6日 00:05
米Appleは5月3日(現地時間)、「WebKit」に脆弱性があるとして同社製OSに対しセキュリティアップデートをリリースした。先週リリースされたばかりの「macOS Big Sur 11.3」や「iOS 14.5」、「iPadOS 14.5」などが対象となっており、すべてのユーザーに適用が推奨されている。
macOS Big Sur 11.3.1
「macOS Big Sur 11.3.1」では、「WebKit」で発見されたメモリ破損(CVE-2021-30665)と整数オーバーフロー(CVE-2021-30663)が修正された。いずれも悪意を持って作成されたWebコンテンツを処理するだけで、任意のコードが実行されてしまう可能性がある。
Appleによると、いずれの脆弱性もすでに攻撃へ悪用された可能性があるとの報告を受けているとのこと。できるだけ早いアップデートが必要だ。
iOS 14.5.1/iPadOS 14.5.1
「iOS 14.5.1」と「iPadOS 14.5.1」でも「macOS Big Sur 11.3.1」と同じ2件の脆弱性が修正された。また、以前に「設定」画面で[Appからのトラッキング要求を許可]を無効化している場合に、その設定を有効に戻してもアプリからの要求が表示されないことがあるという問題も修正されているとのこと。
「iOS 14」はiPhone 6s以降、iPod touch第7世代以降で利用可能。「iPadOS 14」の対応OSは、iPad Air 2以降、iPad mini 4以降。セキュリティアップデートは、自動更新機能を介して無償で提供される。「設定」アプリの[一般]-[ソフトウェア・アップデート]セクションから手動でアップデートすることも可能だ。
iOS 12.5.3
「iOS 12.5.3」は、「iOS 14」へのアップデートが行えない古いデバイス向け。CVE-2021-30665とCVE-2021-30663に加え、「WebKit」におけるバッファオーバーフロー(CVE-2021-30666)と、「WebKit」のストレージ機能における解放後メモリ利用(Use-after-free)の欠陥(CVE-2021-30661)が対処された。
いずれも攻撃への悪用が報告されているゼロデイ脆弱性で、できるだけ早い対応が望ましい。
watchOS 7.4.1
CVE-2021-30665は「watchOS 7.4」にも影響するとのことで、「watchOS 7.4.1」へのアップデートが必要だ。対応デバイスはApple Watch Series 3およびそれ以降。
Safari 14.1
そのほかにも、macOS Catalina/Mojave向けの「Safari 14.1」のセキュリティアップデートが現地時間4日付でリリースされた。バージョンは「Safari 14.1」のままだが、現地時間26日にリリースされたセキュリティコンテンツに加え、CVE-2021-30665とCVE-2021-30663への対処が行われているという。Catalinaの場合は15611.1.21.161.7、Mojaveの場合は14611.1.21.161.7にビルドナンバーが更新されていることを確認しよう。