Appleからの重大ニュース：雑誌、ゲーム、テレビではなく、50以上のセキュリティバグを修正する必要がある

Appleは月曜日、新聞や雑誌、ゲーム、ビデオエンターテインメントの定期購読サービスを垣間見せて世界を驚かせたほか、51件のセキュリティ脆弱性を修正したiOS 12.2をリリースした。

フルーツをテーマにしたこの会社の修正はいくつかの重大な欠陥をカバーするものであり、できるだけ早く適用されるべきです。

AppleはiOS 12.2でいくつかの深刻なバグを修正しました。今すぐアップデートしてください！

改めて、Appleのセキュリティパッチスケジュールを主要メディアイベントに連動させるべきかどうかという疑問が浮上しました。これは「Patch Tuesday」ではなく、「Patch Keynote」です。pic.twitter.com/F8fCoJmh2v

— アレックス・スタモス（@alexstamos）2019年3月25日

最も問題となる脆弱性は、ReplayKit API の欠陥 (CVE-2019-8566) であり、悪意のあるアプリケーションがユーザーの許可や認識なしに iPhone、iPad、iPod touch のマイクにアクセスできるようになります。

Appleはセキュリティアップデートの中で、「マイクデータの処理においてAPIに問題がありました。この問題は検証機能の強化により解決されました」と説明しています。

Appleウォッチャーなら、1月にiGiantがFaceTime関連の脆弱性の修正に奔走したことを覚えているかもしれない。この脆弱性は、悪意のある人物がFaceTime受信者の電話に強制的に応答させ、Appleのデバイスを盗聴の道具としてしまう可能性があった。この問題は先月修正された。

モバイルSafariの中核を成すWebKit（CVE-2019-6222）にも関連する問題があり、ウェブサイトがiOSデバイスのマイクにアクセスできる可能性がありますが、その際に何の表示もありません。また、別のSafariのバグ（CVE-2019-8554）により、ウェブサイトが同意なしにデバイスのセンサー情報にアクセスできる可能性があります。

Twitter経由で連絡を取ったセキュリティ研究者で、Digita Securityの最高研究責任者でありObjective-Seeの創設者でもあるパトリック・ウォードル氏は、人をスパイするために使用できるReplay Kitの欠陥に加えて、リモートコード実行を可能にする注目すべきGeo Servicesのバグ（CVE-2019-8553）があると述べた。

Apple によれば、この脆弱性を悪用すると、任意のリモート コードを起動する悪質な SMS リンクが作成される可能性があるという。

「これらは、高度な（国家レベルの）敵対者が遠隔的に標的を感染させるために悪用するタイプのバグだ」とウォードル氏は述べ、アップルのiOSプラットフォームのルールでは、この種の攻撃を阻止、あるいは少なくとも検知できるセキュリティツールが許可されていないことを嘆いた。

12.2 アップデートでは、リモート攻撃者がシステムをクラッシュさせたりカーネルメモリを破壊したりするために使用できる iOS カーネルのバグ (CVE-2019-8527) も修正されています。

一方、WebKit には、悪意を持って作成された Web コンテンツがメモリを操作して任意のコードを実行することを防ぐための複数の修正が加えられました (CVE-2019-8536、CVE-2019-8544、CVE-2019-7285、CVE-2019-8556、CVE-2019-8506)。

「私にとっての結論は、iOSは今もこれからもハッキング可能なデバイスだということです」とウォードル氏は述べた。「確かに非常に安全ですが、他のコンピューティングシステムと同様に、ハッキングされる可能性はあります。」®