WebKitに危険な脆弱性、すぐにiOSのアップデートを

WebKit内に見つかった危険な脆弱性は、活発に悪用されていると見られます。iOSデバイスの迅速なアップデートを推奨します。

Appleは、iOSおよびiPadOSの脆弱性(CVE-2022-22620)を修正する緊急アップデートをリリースしました(リンク先は英語)。この脆弱性が何者かによって活発に悪用されているとの情報があるとして、アップデートの速やかな適用が推奨されています(英語ページ)。

脆弱性CVE-2022-22620が危険である理由

例によって調査が完了するまで脆弱性の詳細は公にされませんが、現状では、この脆弱性が、アプリ内動的メモリの不正使用につながりかねない解放済みメモリ使用(Use-After-Free)の脆弱性であることが明かされています。脆弱性の悪用によって、攻撃者が悪意あるWebコンテンツを作成し、被害者のデバイス上で任意コードを実行する恐れがあります。

端的に言うと、悪意あるWebサイトにアクセスしたiPhoneまたはiPadが感染するという攻撃シナリオが考えられます。

CVE-2022-22620悪用の影響を受けるデバイスおよびアプリ

この脆弱性の説明から判断すると、脆弱性はWebKitで発見されたようです。WebKit はmacOS、iOS、Linux向けの多数アプリケーションで使用されており、特にiOSおよびiPadOS向けのブラウザーはすべて、このオープンソースエンジンをベースにしています。つまり、iPhoneのデフォルトブラウザーであるSafariだけでなくGoogle ChromeやMozilla Firefoxなどのその他ブラウザーも影響を受けるということであり、Safariを使っていない人でもこの脆弱性の影響を直接被るということになります。

アップデートは、iPhones 6s以降、iPad Proの全モデル、iPad Air 2以降、第5世代以降のiPad、第4世代以降のiPad mini、第7世代以降のiPod touch向けにリリースされています。

対策

Appleが2月10日にリリースしたパッチは、メモリ管理メカニズムを変更することでCVE-2022-22620の悪用を阻止します。したがって、iOS 15.3.1、iPadOS 15.3.1をインストールすれば対策としては十分です。パッチをインストールするにはWi-Fi接続が必要です。

インストール可能なアップデートに関する通知が表示されない場合は、アップデートを探しに行った方が早いかもしれません。システム環境設定に移動し([設定]-[一般]-[ソフトウェアアップデート])、ソフトウェアアップデートを確認してください。

ヒント