Apple、iOS 12.3で修正した脆弱性を再び修正した「iOS 12.4.1」や「watchOS 5.3.1」などをリリース。

スポンサーリンク

 AppleがiOS 12.3で修正した重要なセキュリティの問題を再び修正した「iOS 12.4.1」や「watchOS 5.3.1」などをリリースしています。詳細は以下から。

iOS 12

 Appleは現地時間2019年08月26日、07月にリリースした「iOS 12.4 Build 16G77」に確認された重要なセキュリティの問題を修正し、安定性を向上させた「iOS 12.4.1 Build 16G102」および「watchOS 5.3.1 Build 16U600」「tvOS 12.4.1 Build 16M600」をリリースしたと発表しています。

iOS 12.4.1 (16G102) watchOS 5.3.1 (16U600) tvOS 12.4.1 (16M600)

  • iOS 12.4.1 (16G102)
  • watchOS 5.3.1 (16U600)
  • tvOS 12.4.1 (16M600)

August 26, 2019

Releases – Apple Developer

スポンサーリンク

iOS 12.3で修正したはずの脆弱性

 リリースノートには「重要なセキュリティおよび安定性のアップデート」としか記載されていませんが、同時に公開されたセキュリティコンテンツにはGoogle Project ZeroのNed Williamsonさんにより発見された脆弱性CVE-2019-8605がクレジットされています。

CVE-2019-8605

  • 対象となるデバイス:iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代)
  • 影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
  • 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
  • CVE-2019-8605:Google Project Zero の Ned Williamson 氏

リリースノートより

 NedさんはMotherboardのインタビューの中で、この脆弱性CVE-2019-8605は今年05月にリリースされたiOS 12.3 Build 16F156で修正されたものの、iOS 12.4で再び脆弱性が復活していることを確認したそうで、Nedさんはこの脆弱性を利用し任意のコードを実行できる「SockPuppet」を公開し、その後Pwn20wndさんらのチームが一部のiOSデバイスをJailbreakできるツールを公開していました。

 iOS 12.4.1では既にエクスプロイト(SockPuppet)が公開されているCVE-2019-8605が再び修正さているので、Jailbreakの必要がないユーザーの方は時間を見つけてアップデートすることをお勧めします。