Apple、実際に利用された可能性のあるゼロデイ脆弱性を修正した「macOS Big Sur 11.6 (20G165)」や「iOS/iPadOS 14.8 (18H17)」をリリース。

　Appleが実際に利用された可能性のあるゼロデイ脆弱性を修正した「macOS Big Sur 11.6 Build 20G165」をリリースしています。詳細は以下から。

　Appleは現地時間2021年09月13日、macOS 11 Big Surに対応した2013年製以降のMac向けに「macOS Big Sur 11.6 Build 20G165」を、iPhone 6s以降のiPhone、iPad Pro全モデルおよびiPad Air 2以降のiPad Airシリーズ、

macOS Big Sur 11.6 — 再起動が必要です
このアップデートをすべてのユーザに推奨します。このアップデートを適用するとmacOSのセキュリティが向上します。

リリースノートより

第5世代iPodiのiPad、第4世代iPad mini以降のiPad miniシリーズ、そして第7世代以降のiPod touchデバイスに対しiPad向けに「iOS 14.8/iPadOS 14.8 (18H17)」を、Apple Watch Series 3以降のApple Watchに「watchOS 7.6.2 (18U80)」をリリースしたと発表しています。

2件のゼロデイ脆弱性を修正

　macOS 11.6やiOS/iPadOS 14.8、watchOS 7.6.2のリリースノートを見る限りでは、今回のアップデートには新機能は含まれておらず「このアップデートには重要なセキュリティアップデートが含まれ」としか記載されていませんが、Appleが同時に公開したセキュリティコンテンツによると、今回のアップデートではAppleも既に利用された可能性を把握している2件のゼロデイ脆弱性「CVE-2021-30860」および「CVE-2021-30858」が修正されており、

Apple is aware of a report that this issue may have been actively exploited.

セキュリティコンテンツより

悪意を持ったユーザーにより作成されたPDFを処理すると任意のコードが実行される可能性のある脆弱性(CVE-2021-30860)は、クレジットされているThe Citizen Labが既にサウジアラビアの活動家を狙ったNSO GroupによるiMessageのゼロクリック攻撃を確認しており、CoreGraphicsの脆弱性を利用してgifに偽装されたPDFファイルの処理の段階で任意のコードが実行されるそうなので、macOS 11 Big SurやiOS/iPadOS 14, watchOS 7デバイスユーザーの方は時間を見るけてアップデートすることをお勧めします。

CoreGraphics

• Available for: macOS Big Sur/iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)/Apple Watch Series 3 and later
• Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
• Description: An integer overflow was addressed with improved input validation.
• CVE-2021-30860: The Citizen Lab

• Apple security updates – Apple Support