Apple、「iOS 15.7.8」「iPadOS 15.7.8」をリリース ～旧OSでもゼロデイ脆弱性に対処

「iOS 15.7.8」

　米Appleは7月24日（現地時間）、「iOS 15.7.8」および「iPadOS 15.7.8」を公開した。不具合と脆弱性を修正したセキュリティアップデートで、すべてのユーザーに適用が推奨されている。

　セキュリティ関連の修正は、CVE番号ベースで11件。「Apple Neural Engine」における任意コードの実行、「探す」アプリにおける位置情報の漏洩、カーネルで発見されたセキュリティ欠陥、「WebKit」の問題などが解決された。

　なかでも「CVE-2023-38606」と「CVE-2023-32409」にはとくに警戒が必要。

　「CVE-2023-38606」はカーネルのステート管理における欠陥で、アプリが本来アクセスできないはずのセンシティブなカーネル状態を変更できてしまうことがある。この問題は「iOS 15.7.1」より前にリリースされたiOSバージョンで実際に悪用された可能性が指摘されている。

　もう一つの「CVE-2023-37450」は、「WebKit」における境界チェックの不備。Webコンテンツのサンドボックスから抜け出せる可能性があり、これも積極的な悪用の報告があるという。