Apple、実際に利用された可能性のあるゼロデイ脆弱性を修正した「macOS Big Sur 11.6 (20G165)」や「iOS/iPadOS 14.8 (18H17)」をリリース。

iPhone/iPadOS 14.8 (18H17) macOS 11 Big Sur
記事内に広告が含まれています。
スポンサーリンク

 Appleが実際に利用された可能性のあるゼロデイ脆弱性を修正した「macOS Big Sur 11.6 Build 20G165」をリリースしています。詳細は以下から。

macOS 11 Big Surのロゴ

 Appleは現地時間2021年09月13日、macOS 11 Big Surに対応した2013年製以降のMac向けに「macOS Big Sur 11.6 Build 20G165」を、iPhone 6s以降のiPhone、iPad Pro全モデルおよびiPad Air 2以降のiPad Airシリーズ、

macOS Big Sur 11.6

macOS Big Sur 11.6 — 再起動が必要です
このアップデートをすべてのユーザに推奨します。このアップデートを適用するとmacOSのセキュリティが向上します。

リリースノートより

第5世代iPodiのiPad、第4世代iPad mini以降のiPad miniシリーズ、そして第7世代以降のiPod touchデバイスに対しiPad向けに「iOS 14.8/iPadOS 14.8 (18H17)」を、Apple Watch Series 3以降のApple Watchに「watchOS 7.6.2 (18U80)」をリリースしたと発表しています。

iPhone/iPadOS 14.8 (18H17)

2件のゼロデイ脆弱性を修正

 macOS 11.6やiOS/iPadOS 14.8、watchOS 7.6.2のリリースノートを見る限りでは、今回のアップデートには新機能は含まれておらず「このアップデートには重要なセキュリティアップデートが含まれ」としか記載されていませんが、Appleが同時に公開したセキュリティコンテンツによると、今回のアップデートではAppleも既に利用された可能性を把握している2件のゼロデイ脆弱性「CVE-2021-30860」および「CVE-2021-30858」が修正されており、

Apple Hotfix  0day CVE-2021-30860 and CVE-2021-30858

Apple is aware of a report that this issue may have been actively exploited.

セキュリティコンテンツより

悪意を持ったユーザーにより作成されたPDFを処理すると任意のコードが実行される可能性のある脆弱性(CVE-2021-30860)は、クレジットされているThe Citizen Labが既にサウジアラビアの活動家を狙ったNSO GroupによるiMessageのゼロクリック攻撃を確認しており、CoreGraphicsの脆弱性を利用してgifに偽装されたPDFファイルの処理の段階で任意のコードが実行されるそうなので、macOS 11 Big SurやiOS/iPadOS 14, watchOS 7デバイスユーザーの方は時間を見るけてアップデートすることをお勧めします。

watchOS 7.6.2はCVE-2021-30860の修正。

CoreGraphics

  • Available for: macOS Big Sur/iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)/Apple Watch Series 3 and later
  • Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
  • Description: An integer overflow was addressed with improved input validation.
  • CVE-2021-30860: The Citizen Lab

コメント

タイトルとURLをコピーしました