Apple、WebKitのゼロデイ脆弱性に対処した「iOS 16.7.3」「iPadOS 16.7.3」を公開

Apple、「iOS 16.7.3」および「iPadOS 16.7.3」を公開

　米Appleは12月11日（現地時間）、「iOS 16.7.3」および「iPadOS 16.7.3」をリリースした。本アップデートは「iOS 17」「iPadOS 17」へのアップグレードを留保していたり、同バージョンに対応していないデバイス向けのものとなり、重要なセキュリティ修正が含まれている。アップデートの適用はすべてのユーザーに推奨される。

　今回のアップデートで対処された脆弱性は、CVE番号ベースで8件。機密データへのアクセス、カーネルメモリの開示、任意コードの実行、サービス運用妨害（DoS）に加え、「WebKit」の不具合などが修正された。

　このうち、「WebKit」に関する脆弱性「CVE-2023-42917」および「CVE-2023-42916」については、「iOS 16.7.1」より以前のバージョンのiOSに対して悪用された可能性があるとのこと。アップデートはできるだけ早めに適用しておきたいところだ。

• アカウントの脆弱性（CVE-2023-42919）
  アプリがユーザーの機密データにアクセスできる恐れ
• AVEビデオエンコーダーの脆弱性（CVE-2023-42884）
  アプリがカーネルメモリを開示できる恐れ
• 「探す」（Find My）の脆弱性（CVE-2023-42922）
  アプリが機密の位置情報を読み取ることができる恐れ
• ImageIOの脆弱性（CVE-2023-42899）
  画像を処理すると任意のコードが実行される恐れ
• カーネルの脆弱性（CVE-2023-42914）
  アプリがサンドボックスから抜け出せる恐れ
• 「WebKit」の脆弱性（CVE-2023-42883）
  画像を処理するとサービス拒否が発生する恐れ
• 「WebKit」の脆弱性（CVE-2023-42917）
  Webコンテンツを処理すると任意のコードが実行される恐れ
• 「WebKit」の脆弱性（CVE-2023-42916）
  Webコンテンツを処理すると機密情報が漏えいする恐れ

　対象機種は、iPhoneの場合はiPhone 8 以降のモデル。iPadについては、iPad Pro（全モデル）、iPad Air 第3世代以降、iPad 第5世代以降、iPad mini 第5世代以降のモデルとなる。アップデートの適用は、「設定」アプリの［一般］－［ソフトウェアアップデート］セクションから手動で行なうこともできる。