「iOS 15.8」「iPadOS 15.8」が公開 ～アプリにカーネル権限でコード実行されるゼロデイ脆弱性に対処

「iOS 15.8」のセキュリティ情報

　米Appleは10月25日（現地時間）、「iOS 15.8」および「iPadOS 15.8」を公開した。ゼロデイ脆弱性「CVE-2023-32434」に対処したセキュリティアップデートになっており、すべてのユーザーに適用が推奨されている。

　「CVE-2023-32434」はカーネルにおける入力検証の不備で、整数オーバーフローが発生するというもの。アプリがカーネル権限で任意のコードを実行できる可能性があり、「iOS 15.7」より前にリリースされたiOSバージョンで悪用されたかもしれないとの報告がある。「CVSS v3」の基本値は「7.8」（High）。

　この脆弱性は6月に修正がアナウンスされていたが、「iOS 15」では不備があったか、追加の措置がとられたようだ。「iOS 16」「iPadOS 16」や「macOS」、「watchOS 8」「watchOS 9」でも修正済み。

　「iOS 15.8」および「iPadOS 15.8」の対象デバイスはiPhone 6s、iPhone 7、iPhone SE（第1世代）、iPad Air 2、iPad mini（第4世代）、iPod touch（第7世代）。自動で更新されるが、「設定」アプリの［一般］－［ソフトウェアアップデート］セクションから手動でアップデートすることもできる。