ニュース

すでに悪用も確認 ~任意コード実行の脆弱性を修正した「iOS 14.8」「iPadOS 14.8」【9月22日追記】

9月20日付で追加の修正情報が公表

Apple、「iOS 14.8」「iPadOS 14.8」を正式公開

 米Appleは9月13日(現地時間)、「iOS 14.8」および「iPadOS 14.8」を正式リリースした。重要なセキュリティアップデートが含まれており、同社はすべてのユーザーに対し適用を呼び掛けている。

 同社の公開したセキュリティアドバイザリによると、本バージョンではCoreGraphicsにおける整数オーバフローの欠陥(CVE-2021-30860)と、WebKitにおける解放後メモリ利用(use after free)の問題(CVE-2021-30858)が対処されたとのこと。前者は悪意あるPDFファイルを処理した場合に、後者は細工が施されたWebコンテンツを読み込んだ場合に任意のコードが実行されてしまう可能性がある。

 いずれの脆弱性もすでに悪用が確認されているとのことで、できるだけ早いアップデートをお勧めする。

 「iOS 14」はiPhone 6s以降のiPhoneと第7世代のiPod touchで利用可能。アップデートは自動更新機能により無償で提供されるが、「設定」アプリの[一般]-[ソフトウェア・アップデート]セクションから手動でアップデートすることもできる。

 一方、「iPadOS 14」の対応デバイスは、iPad Pro(すべてのモデル)、iPad Air 2以降、第5世代以降のiPad、iPad mini 4以降。「iOS」と同じく、「設定」アプリから無償でアップデートできる。

 なお、「CVE-2021-30860」は「watchOS」にも影響するとのこと。「watchOS 7.6.2」がリリースされているので、こちらも更新しておこう。

[2021年9月22日編集部追記] 9月20日付で「iOS 14.8」「iPadOS 14.8」のセキュリティ修正情報ページが更新され、追加の修正情報が公表された。「Bluetooth」「Kernel」で任意のコードが実行される問題が修正されたほか、「FontParser」「Kernel」「libexpat」「Preferences」「WebKit」で、「iOS 15」および「iPadOS 15」で修正されたものと同じ問題が修正されている。