Apple、既に悪用された可能性のあるWebKitのゼロデイ脆弱性を修正した「iOS/iPadOS 14.5.1/12.5.3」および「watchOS 7.4.1」をリリース。

　Appleが既に悪用された可能性のあるWebKitのゼロデイ脆弱性を修正した「iOS/iPadOS 14.5.1/12.5.3」および「watchOS 7.4.1」をリリースしています。詳細は以下から。

　Appleは現地時間2021年05月03日、iOS 14/iPadOS 14対応のiPhoneおよびiPad向けに「iOS/iPadOS 14.5.1 Build 18E212」、watchOS 7対応のApple Watch向けに「watchOS 7.4.1 Build 18T201」、iOS 14に対応していない古いiPhoneとiPad向けに「iOS 12.5.3 Build 16H41」をリリースしたと発表しています。

• iOS 14.5.1 (18E212)
• iPadOS 14.5.1 (18E212)
• watchOS 7.4.1 (18T201)
• iOS 12.5.3 (16H41)
• iPadOS 12.5.3 (16H41)

May 3, 2021

Releases – Apple Developer

　各アップデートのリリースノートには共通して「重要なセキュリティアップデートも含まれており、すべてのユーザに推奨されます。」というコメントが記載されており、2021年03月のアップデート同様、iOS 14.xに対応していない古いiPhoneやiPadまでにアップデートがリリースされていることからも分かる通り、ゼロデイ脆弱性の修正がメインとなっています。

　今回のアップデートではiOS/iPadOS 14.5.1で2件、iOS 12.5.3で4件、watchOS 7.4.1で1件のWebKitの脆弱性が修正されており、これらのアップデートで共通して修正されている「悪意のあるWebコンテンツを処理すると任意のコードが実行される可能性がある脆弱性(CVE-2021-30665)」含め全ての脆弱性はセキュリティ研究者や機関から既に悪用された可能性があるという報告を受けており、Appleもそれを把握していると記載されているので、iPhone/iPad、Apple Watchユーザーの方は時間を見つけてアップデートすることをお勧めします。

WebKit

• Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
• Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
• Description: A memory corruption issue was addressed with improved state management.
• CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang of 360 ATA

おまけ

　また、iOS/iPadOS 14.5.1では「Appからのトラッキング要求」の不具合も修正されているそうです。

このアップデートを適用すると、一部のユーザが以前に“設定”で“Appからのトラッキング要求を許可”を無効にしていた場合に、その設定を有効に戻してもAppからの要求が表示されないことがあるという、Appのトラッキングの透明性に関する問題が修正されます。このアップデートには重要なセキュリティアップデートも含まれており、すべてのユーザに推奨されます。

リリースノートより

• Releases – Apple Developer
• Apple security updates – Apple Support