AppleはSafari、macOS、iOSのセキュリティ脆弱性を修正する3つのアップデートをリリースした。
iOS の場合、11.3.1 へのアップデートでは、iOS と macOS の両方で使用されるデバッグ ツールに存在する脆弱性を含む、合計 4 つの CVE リストの脆弱性が修正されます。
この脆弱性(CVE-2018-4206)は、Google Project Zeroの研究者イアン・ビア氏によってクラッシュレポーターで発見されました。Appleによると、クラッシュレポーターのエラー処理に脆弱性があり、アプリケーションがメモリ破損エラーを引き起こし、権限昇格が可能になる可能性があるとのことです。
要約すると、デバッガーにバグがあり、バグのあるアプリがデバッガーのバグを引き起こし、すべてを台無しにしてしまう可能性がありました。パッチを入手するには、iOS 11.3.1またはセキュリティアップデート2018-001をインストールしてください。
2018年、MacやiPhoneは邪悪な音楽を再生することで乗っ取られる可能性がある
続きを読む
iOSでは、テンセントの研究者Zhiyang Zeng氏とRoman Mueller氏によって発見されたUIスプーフィングの脆弱性(CVE-2018-4187)も修正されました。Mueller氏の説明によると、この脆弱性は実際にはAppleがiOSに最近追加したQRコード読み取り機能に存在しています。カメラがQRコードを正しくスキャンしてURLをリダイレクトできないため、ユーザーはなりすましサイトやフィッシングサイトに誘導される可能性があります。
最後に、iOSアップデートは、WebKitの2つのメモリ破損脆弱性(CVE-2018-4200、Project ZeroのIvan Frantic氏によって報告)と、Trend MicroのZero Day InitiativeのRichard Zhu氏によって発見されたCVE-2018-4200)に対処します。どちらの脆弱性も、特別に細工されたWebページによってリモートコード実行が可能になる可能性があります。
これら2つのWebKitのバグは、AppleのウェブブラウザSafari 11.1でも修正されます。Safariはエンジンと、それに起因する多くの脆弱性をiOSと共有しているためです。El Capitan、Sierra、High Sierraをご利用のユーザーは、Safariのアップデートを入手できます。
最後に、High Sierra(macOS 10.13.4)をご利用のMacユーザーは、セキュリティアップデート2018-001をインストールすることをお勧めします。このアップデートは、macOSにおけるCVE-2018-4187(QRコードリーダーのバグ)とCVE-2018-4206(クラッシュレポーターの脆弱性)の両方に対処します。
Apple からは他のセキュリティ アップデートはリリースされていないため、Apple Watch または AppleTV を使用しているユーザーは、現時点ではパッチを探す必要はありません。®
