ニュース
Apple、古い「iOS」でも3件のゼロデイ脆弱性に対処 ~悪用事例も確認
「iOS 13」以降にアップグレードできない古いデバイス向けの「iOS 12.5.5」
2021年9月27日 09:30
米Appleは9月23日(現地時間、以下同)、「iOS 12.5.5」を正式リリースした。「iOS 13」以降にアップグレードできない古いデバイス向けのアップデートだが、重要なセキュリティアップデートが含まれており、すべてのユーザーに適用が推奨されている。
今回のアップデートで修正された問題は、CVE番号ベースで3件。いずれもすでに悪用事例が報告されているゼロデイ脆弱性で、早急な対策が必要だ。
- CVE-2021-30860:「CoreGraphics」における整数オーバーフロー。細工が施されたPDFファイルを処理すると任意のコードが実行される可能性がある
- CVE-2021-30858:「WebKit」における解放後メモリ利用(use after free)。悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある
- CVE-2021-30869:「XNU」における型混乱。悪意のあるアプリケーションがカーネル権限を持つ任意のコードを実行できる可能性がある
「iOS 12.5.5」はiPhone 5s、6/6 Plus、iPad Air、iPad mini 2/3および第6世代のiPod touchに対応しており、現在[設定]アプリの[一般]-[ソフトウェアアップデート]画面から無償でアップデートできる。
なお、「CoreGraphics」と「WebKit」の欠陥は「iOS 14」「iPadOS 14」にも影響するが、すでに修正済みだ。