月曜日、Appleは多数のオペレーティングシステムとアプリケーションに対する新たな一連のセキュリティ修正プログラムをリリースした。
7月のパッチバッチは、iOS、macOS、Safari、watchOS、tvOSの脆弱性に対処していますが、アップデートの多くはWebKitブラウザエンジンなど、各プラットフォームに共通するコンポーネントを対象としています。これらのパッチはできるだけ早くインストールしてください。
iOS の場合、12.4 アップデートでは、モバイル オペレーティング システムのさまざまなコンポーネントに対して合計 37 件の修正が行われます。
CVE に登録された脆弱性の半数以上は WebKit で発見され、Apple は 19 件のメモリ破損の脆弱性を修正しました。これらの脆弱性はそれぞれ、汚染された Web コンテンツを介して任意のコードの実行を可能にする可能性があり、3 件のクロスサイト スクリプティングの脆弱性にもパッチが提供されています。
残りの15件のCVEエントリには、研究者のJeff Braswell氏によって発見された、Walletアプリの脆弱性が含まれていました。この脆弱性により、ユーザーはロック画面で操作中に誤って購入を承認してしまう可能性があります。また、研究者のMarius Alexandru Boeru氏と匿名の同僚によって発見された、通話中にトランシーバー接続がサイレントに起動される可能性があるiOSテレフォニーソフトウェアのバグの修正も含まれています。
今回は、Project Zero の Natalie Silvanovich が大きな勝者となった。Google が支援するこのバグハンターは、Core Data (CVE-2019-8646、CVE-2019-8647、同僚の Google 社員 Samuel Groß と共同で発見、CVE-2019-8660、Groß と共同で発見)、Found in Apps (CVE-2019-8663)、Foundation (CVE-2019-8641、Groß と共同で発見)、Quick Look (CVE-2019-8662、Groß と共同で発見)、および Siri (CVE-2019-8646) の脆弱性を発見した功績を認められた。
macOSでは、Mojave、High Sierra、Sierraシステムで合計44件の脆弱性が修正されました。これには、WebKitのCVEエントリ22件すべてに加え、Core Data、Found in Apps、Foundation、Quick Look、Siriの脆弱性の修正が含まれます。
NAS が攻撃される前に今すぐパッチを当てましょう: Iomega のストレージ ボックスは数百万ものファイルをインターネットに公開したままにしています
続きを読む
さらに、Apple は、Office ドキュメントによって引き起こされる UIFoundation の任意コード実行の脆弱性 (CVE-2019-8657、VulWar Corp の riusksk 氏が発見)、バックアップの暗号化ステータスを誤って表示する Time Machine の脆弱性 (cyber:con GmbH の Roland Kletzing 氏が発見)、およびトレンドマイクロの研究者である Lilang Wu 氏と Moony Li 氏、Solita の Arash Tohidi 氏、および研究者である Aleksandr Tarasikov 氏が報告した Mac グラフィック ドライバーの 2 つの情報漏えいの脆弱性 (CVE-2019-8691 および CVE-2019-8692) に対処しました。
AppleのtvOS(Apple TV 4KおよびHDのファームウェア)には、WebKit、CoreData、Siriのパッチなど、iOSと同様の多くの修正が適用されます。ユーザーは「設定」>「システム」>「ソフトウェアアップデート」メニューからパッチを入手できます。
watchOSでは、WebKitを含むWatchOSとiOSが共有するコンポーネントにおける23件のCVEリストに記載されたバグが修正されました。このアップデートは、Apple WatchのiOSアプリからインストールできます。
最後に、macOS 上の Safari では、研究者の Tsubasa Fujii 氏が発見したアドレスバーのなりすましの脆弱性である CVE-2019-8670 として、22 件の WebKit 問題が修正されます。®
