Appleが既に悪用された可能性のあるWebKitのゼロデイ脆弱性を修正した「iOS 12.5.6」をiPhone 5sやiPhone 6向けにリリースしています。詳細は以下から。
Appleは現地時間2022年08月17日、iOS 15/iPadOS 15をサポートしたiPhone 6s以降のiPhoneやiPad、iPod touch向けに、既に悪用された可能性のあるゼロデイ脆弱性2件を修正した「iOS/iPadOS 15.6.1 (19G82)」をリリースしましたが、
現地時間2022年08月31日、2019年にリリースしたiOS 13/iPadOS 13でシステム要件から外れ15/iPadOS 15へアップデートできないiPhone 5sやiPhone 6/6 Plus、iPad mini 2などに対し、iOS/iPadOS 15.6.1で修正した悪意のあるWebコンテンツを処理すると任意のコードが実行可能なWebKitの脆弱性と同じ脆弱性を修正した「iOS 12.5.6」をリリースしています。
このアップデートには重要なセキュリティアップデートが含まれ、すべてのユーザーに推奨されます。
リリースノートより
Appleが公開したセキュリティコンテンツによると、今回のセキュリティアップデートでは既に悪用された可能性があるという報告を受けているWebKitに関する脆弱性(CVE-2022-32893)が修正されており、加えて、iOS/iPadOS 15.6.1で同時に修正されたXNU Kernelに対するゼロデイ脆弱性CVE-2022-32894はiOS 12には影響しないと記載されているので、まだ古いiPhone 5sやiPad Air/mini 2などをお使いの方はアップデートすることをお勧めします。
iOS 12 is not impacted by CVE-2022-32894.
おまけ
WebKitに関する脆弱性CVE-2022-32893はローカル権限昇格(LPE)が可能で、既にWebで売りに出されているそうで、この脆弱性は開発者などに公開されているiOS 16 beta 7にも影響するようですが、Appleは08月29日付けで「iOS 16 beta 8」をリリースしているのでテスターの方も注意してください。
Zero-click LPE exploit (CVE-2022-32893) for iOS 16 Beta 7 currently on sale. Selling price – €2,500,000 🫢 pic.twitter.com/NIkPBiwQyp
— Yalu Jailbreak (@Yalujb) August 28, 2022
iOS 12.5.6アップデート対象デバイス
- iPhone 5s
- iPhone 6
- iPhone 6 Plus
- iPad Air
- iPad mini 2
- iPad mini 3
- iPod touch (6th generation)
- Apple security updates – Apple
コメント