Appleが既に悪用された可能性のある悪意のあるWebコンテンツの処理によりUXSS攻撃が実行される脆弱性を修正した「iOS/iPadOS 14.4.2と12.5.2」および「watchOS 7.3.3」をリリースしています。詳細は以下から。
Appleは現地時間2021年03月26日、iOS 14/iPadOS 14対応のiPhoneおよびiPad向けに「iOS/iPadOS 14.4.2 Build 18D70」、watchOS 7対応のApple Watch向けに「watchOS 7.3.3 Build 18S830」、iOS 14に対応していない古いiPhoneとiPad向けに「iOS/iPadOS 12.5.2 Build 16H30」をリリースしたと発表しています。
- iOS 14.4.2 (18D70)
- iPadOS 14.4.2 (18D70)
- iOS 12.5.2 (16H30)
- iPadOS 12.5.2 (16H30)
- watchOS 7.3.3 (18S830)
2021年03月26日
Releases – Apple Developer
各iOS/iPadOS, watchOSのリリースノートには「このアップデートには重要なセキュリティアップデートが含まれ、すべてのユーザに推奨されます。」としか記載されていませんが、Appleが公開したセキュリティコンテンツの情報によると、
このアップデートには重要なセキュリティアップデートが含まれ、すべてのユーザに推奨されます。
Appleソフトウェア・アップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください:
https://support.apple.com/kb/HT201222リリースノートより
今回のアップデートではCVE-2021-1844と同じくGoogle Threat Analysis GroupのClement Lecigne(@_clem1)さんとBilly Leonard(@billyleonard)さんによって発見された、悪意を持って作成されたWebコンテンツを処理すると、ユニバーサルクロスサイトスクリプティング(UXSS:Universal cross Site Scripting)攻撃につながるおそれがある脆弱性(CVE-2021-1879)が修正されており、
One more 0day down, well done my colleagues @_clem1 and @billyleonard. https://t.co/KFRxcW8hYh
— Antti Tikkanen (@anttitikkanen) March 26, 2021
アップデート対象のAppleデバイスはiPhone 5sやiPhone 6, iPad Air, iPad mini 2, 第6世代iPod touchなどのiOS 12対応デバイス、iPhone 6sやiPad Pro, iPad Air 2, 第5世代iPad, iPad mini 4, 第7世代iPod touch以降の全てのiOS 14対応デバイスとApple Watch Series 3以降と幅広いので、対象のデバイスをお持ちの方は時間を見つけてアップデートすることをお勧めします。
WebKit
- Impact: Processing maliciously crafted web content may lead to universal cross site scripting. Apple is aware of a report that this issue may have been actively exploited.
- Description: This issue was addressed by improved management of object lifetimes.
- CVE-2021-1879: Clement Lecigne of Google Threat Analysis Group and Billy Leonard of Google Threat Analysis Group
- Releases – Apple Developer
- Apple security updates – Apple Support
コメント