すでに悪用も確認 ～任意コード実行の脆弱性を修正した「iOS 14.8」「iPadOS 14.8」【9月22日追記】

Apple、「iOS 14.8」「iPadOS 14.8」を正式公開

　米Appleは9月13日（現地時間）、「iOS 14.8」および「iPadOS 14.8」を正式リリースした。重要なセキュリティアップデートが含まれており、同社はすべてのユーザーに対し適用を呼び掛けている。

　同社の公開したセキュリティアドバイザリによると、本バージョンではCoreGraphicsにおける整数オーバフローの欠陥（CVE-2021-30860）と、WebKitにおける解放後メモリ利用（use after free）の問題（CVE-2021-30858）が対処されたとのこと。前者は悪意あるPDFファイルを処理した場合に、後者は細工が施されたWebコンテンツを読み込んだ場合に任意のコードが実行されてしまう可能性がある。

　いずれの脆弱性もすでに悪用が確認されているとのことで、できるだけ早いアップデートをお勧めする。

　「iOS 14」はiPhone 6s以降のiPhoneと第7世代のiPod touchで利用可能。アップデートは自動更新機能により無償で提供されるが、「設定」アプリの［一般］－［ソフトウェア・アップデート］セクションから手動でアップデートすることもできる。

　一方、「iPadOS 14」の対応デバイスは、iPad Pro（すべてのモデル）、iPad Air 2以降、第5世代以降のiPad、iPad mini 4以降。「iOS」と同じく、「設定」アプリから無償でアップデートできる。

　なお、「CVE-2021-30860」は「watchOS」にも影響するとのこと。「watchOS 7.6.2」がリリースされているので、こちらも更新しておこう。

［2021年9月22日編集部追記］ 9月20日付で「iOS 14.8」「iPadOS 14.8」のセキュリティ修正情報ページが更新され、追加の修正情報が公表された。「Bluetooth」「Kernel」で任意のコードが実行される問題が修正されたほか、「FontParser」「Kernel」「libexpat」「Preferences」「WebKit」で、「iOS 15」および「iPadOS 15」で修正されたものと同じ問題が修正されている。