本日、Apple が iOS 14.7・iPadOS 14.7 で行われたセキュリティの変更点を公開しました。
これらのアップデートにより、セキュリティに関する以下の改善が加えられているということです。
ActionKit
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:ショートカットを使用して、インターネットの許可要件を回避できる可能性があります。
説明:入力検証の問題が改善されました。
オーディオ
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:ローカルの攻撃者は、予期しないアプリケーションの終了や任意のコードの実行を引き起こす可能性があります。
説明:この問題はチェックを改善することで対応しました。
AVEVideoEncoder
対応機種:iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
影響の内容:アプリケーションがカーネルの権限で任意のコードを実行できる可能性があります。
説明:状態管理の改善により、メモリ破壊の問題が解決されました。
CoreAudio
対応機種: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
影響の内容:悪意を持って作成されたオーディオファイルを処理すると、任意のコードが実行される可能性があります。
説明:メモリ破壊の問題は、状態管理の改善により解決されました。
CoreAudio
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響について:悪意のあるオーディオファイルを再生すると、アプリケーションが予期せず終了する可能性があります。
説明:論理的な問題に対処し、検証を改善しました。
コアグラフィックス
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意を持って作成された PDF ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
説明:競合状態が発生していたため、状態の扱いを改善しました。
コアテキスト
対応機種:iPhone 6s 以降、iPad Pro(全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch(第 7 世代)
影響の内容:悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性があります。
説明:Out-of-Bounds Read (境界外の読み取り) は、入力検証の改善により対処されました。
クラッシュレポーター
対象製品:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意のあるアプリケーションにより,root 権限を取得される可能性があります。
説明:論理的な問題に対処し、検証を改善しました。
CVMS
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響について:悪意のあるアプリケーションによって root 権限を取得される可能性があります。
説明:境界外書き込みの問題は、境界チェックの改善により解決されました。
dyld
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:サンドボックス化されたプロセスが、サンドボックスの制限を回避することができる可能性があります。
説明:論理的な問題がありましたが、検証を改善しました。
Find My
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意のあるアプリケーションがFind Myのデータにアクセスできる可能性があります。
説明:権限の問題は検証を改善することで対応しました。
フォントパーサー
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意をもって作成されたフォントファイルを処理すると、任意のコードが実行される可能性があります。
説明:入力検証の改善により、整数オーバーフローが修正されました。
Identity Service
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容 悪意のあるアプリケーションにコード署名チェックを回避される可能性があります。
説明:コード署名の検証における問題に対処し、チェックを改善しました。
画像処理
対象製品:iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
影響の内容:悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。
説明:メモリ管理の改善により、use after free の問題が解決されました。
Image IO
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性があります。
説明:この問題はチェックを改善することで対応しました。
Image IO
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意をもって作成された画像を処理すると、任意のコードが実行される可能性があります。
説明:バッファオーバーフローに対応するため、境界チェックを改善しました。
カーネル
対応機種: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
影響の内容:任意の読み書き能力を持つ悪意のある攻撃者に、ポインター認証を回避される可能性があります。
説明:論理的な問題に対処し、状態管理を改善しました。
カーネル
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:カーネルコードの実行をすでに達成している攻撃者が、カーネルのメモリ緩和機能を回避できる可能性があります。
説明:論理的な問題がありましたが、検証を改善しました。
libxml2
対象機種:iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
影響の内容:リモートの攻撃者に任意のコードを実行される可能性があります。
説明:この問題は、チェックを改善することで対応しました。
Measure
対象製品:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:libwebp に複数の問題があります。
説明:バージョン 1.2.0 にアップデートすることで複数の問題が解決されます。
Model I/O
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意をもって作成された画像を処理するとサービス拒否に陥る可能性があります。
説明:論理的な問題に対処し、検証を改善しました。
Model I/O
対象:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意をもって作成された画像を処理すると、任意のコードが実行される可能性があります。
説明:入力検証の改善により、境界外の書き込みに対応しました。
Model I/O
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意を持って作成されたファイルを処理することで、ユーザ情報が漏えいする可能性があります。
説明:境界外の読み取りについては、境界チェックの改善により対処しました。
TCC
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意のあるアプリケーションにより、特定のプライバシー設定を回避される可能性があります。
説明:論理的な問題に対処し、状態管理を改善しました。
WebKit
対象機種:iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
影響の内容:悪意を持って作成されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。
説明:タイプコンフリクトの混乱の問題は、状態の扱いを改善することで解決されました。
WebKit
対応機種:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。
説明:メモリ管理の改善により、use after free の問題が修正されました。
WebKit
対応機種: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)
影響の内容:悪意を持って作成されたウェブコンテンツを処理すると、コードが実行される可能性があります。
説明:この問題はチェックを改善することで対応しました。
WebKit
対応機種:iPhone 6s 以降、iPad Pro(全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch(第 7 世代)
影響の内容:悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。
説明:複数のメモリ破壊の問題は、メモリ処理の改善により解決されました。
Wi-Fi
対象製品:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響の内容:悪意のある Wi-Fi ネットワークに参加すると、サービス拒否や任意のコード実行が発生する可能性があります。
説明:この問題は、チェックを改善して対処しました。