iOSとiPadOS:直ちにバージョン14.4へのアップデートを

先日リリースされたバージョン14.4へのアップデートは、すでに悪用されていると見られる脆弱性を修正するアップデートです。今すぐ適用を。

Appleからセキュリティアップデートがリリースされました。3つのゼロデイ脆弱性CVE-2021-1780CVE-2021-1781CVE-2021-1782に対応するためのものです(リンク先はいずれも英語)。Appleはこれら脆弱性がサイバー犯罪者によってすでに悪用されている可能性に触れており、iPhoneユーザーとiPadユーザーには、アップデートを直ちに適用することが望まれます。

3つの脆弱性

CVE-2021-1780とCVE-2021-1781は、Appleデバイスの既定のブラウザーであるSafariのブラウザーエンジン、WebKitに存在する脆弱性です。Appleによると(英語)、どちらもデバイス上での任意コードの実行を許す可能性があります。

Safari以外のブラウザーを使用している場合でも、アップデートの適用は必要です。別のアプリが、アプリ内でのWeb利用時にSafariエンジンを呼び出す場合があるためです。脆弱性を抱えたエンジンがシステム内に存在すること自体が危険なのです。

CVE-2021-1782は、システムカーネル内の脆弱性です。Appleは、プロセスの特権昇格に利用される可能性のあるレースコンディションエラーであると説明しています。

これらの脆弱性は、すでに何者かによって悪用されている可能性があります。3つの脆弱性がエクスプロイトチェーンとして利用される可能性もありますが、Appleは調査が進行中であることから、利用者の安全のために現状では詳細の公表を控えるとしています。また、CVEデータベースも、現時点では詳しい情報が掲載されていません。

iPhone、iPadを保護するために

  • iPhoneとiPadのソフトウェアを、それぞれiOS 14.4、iPadOS 14.4に、できるだけ早くアップデートしてください。AppleのWebサイト(英語)によると、対応機種は以下のとおりです。
    • iPhone 6s以降
    • iPad Air 2以降
    • iPad mini 4以降
    • iPod touch第7世代
  • iOS 14.4、iPadOS 14.4に対応していない古い機種の場合は、Safariの代わりに別のブラウザーをインストールして、そちらを既定のブラウザーに設定しましょう。例えば、iOS 11以降ならFirefoxまたは DuckDuckGoが利用可能ですし、iOS 12以降であればGoogle Chromeも選択できます。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?