AppleがiOS 12.3で修正した重要なセキュリティの問題を再び修正した「iOS 12.4.1」や「watchOS 5.3.1」などをリリースしています。詳細は以下から。
Appleは現地時間2019年08月26日、07月にリリースした「iOS 12.4 Build 16G77」に確認された重要なセキュリティの問題を修正し、安定性を向上させた「iOS 12.4.1 Build 16G102」および「watchOS 5.3.1 Build 16U600」、「tvOS 12.4.1 Build 16M600」をリリースしたと発表しています。
- iOS 12.4.1 (16G102)
- watchOS 5.3.1 (16U600)
- tvOS 12.4.1 (16M600)
August 26, 2019
Releases – Apple Developer
iOS 12.3で修正したはずの脆弱性
リリースノートには「重要なセキュリティおよび安定性のアップデート」としか記載されていませんが、同時に公開されたセキュリティコンテンツにはGoogle Project ZeroのNed Williamsonさんにより発見された脆弱性CVE-2019-8605がクレジットされています。
- 対象となるデバイス:iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代)
- 影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
- 説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
- CVE-2019-8605:Google Project Zero の Ned Williamson 氏
リリースノートより
NedさんはMotherboardのインタビューの中で、この脆弱性CVE-2019-8605は今年05月にリリースされた「iOS 12.3 Build 16F156」で修正されたものの、iOS 12.4で再び脆弱性が復活していることを確認したそうで、Nedさんはこの脆弱性を利用し任意のコードを実行できる「SockPuppet」を公開し、その後Pwn20wndさんらのチームが一部のiOSデバイスをJailbreakできるツールを公開していました。
My iOS 12.2 exploit is now available! Thanks again to Brandon for his help in getting through the Mach trenches from BSD. https://t.co/SpZZvIohfv
— nedwill (@NedWilliamson) 2019年7月11日
I can confirm the exploit was patched in iOS 12.4.1 – – Stay on iOS 12.4!
— Pwn20wnd is reviving 0-Days (@Pwn20wnd) 2019年8月26日
iOS 12.4.1では既にエクスプロイト(SockPuppet)が公開されているCVE-2019-8605が再び修正さているので、Jailbreakの必要がないユーザーの方は時間を見つけてアップデートすることをお勧めします。
- Releases – Apple Developer
- Apple security updates – Apple Support
コメント