2
Apple、10以上の重要なセキュリティアップデートを含むiOS 15.7.2をリリース

iOS 15.7.2 iPhone 7

画像: 鋳造所

今日のiPhone界におけるビッグニュースはiOS 16.2のリリースですが、古い機種のユーザーにもアップデートする重要な理由があります。Appleは、iOS 16に未対応のデバイス、特にiPhone 6sと7、iPad mini 4、iPad Air 2向けにiOS 15.7.2とiPadOS 15.7.2をリリースしました。また、まだiOS 16にアップデートしていない新しいiPhoneにも利用可能です。

iPhoneをアップデートするには、設定アプリで「一般」をタップし、「ソフトウェア・アップデート」をタップします。次に「ダウンロードとインストール」をタップし、画面の指示に従ってください。

このアップデートには新機能は含まれていませんが、バグ修正と多数の重要なセキュリティアップデートが含まれています。これらのアップデートの中には、任意のコード実行を許すものもいくつかあり、少なくとも1つは実際に悪用された可能性があります。Appleのリリースノートには、「このアップデートは重要なセキュリティ修正を提供しており、すべてのユーザーに推奨されます」とのみ記載されています。今回のリリースで公開されているセキュリティアップデートは以下のとおりです。

AppleAVD

  • 影響:悪意を持って作成されたビデオファイルを解析すると、カーネルコードが実行される可能性がある
  • 説明:入力検証を強化することで、範囲外書き込みの問題が解決されました。
  • CVE-2022-46694:アンドレイ・ラブネッツとニキータ・タラカノフ

AVEビデオエンコーダ

  • 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある
  • 説明:チェックを強化することでロジックの問題が解決されました。
  • CVE-2022-42848:  ABCリサーチ社

ファイルシステム

  • 影響:アプリがサンドボックスから抜け出せる可能性がある
  • 説明:この問題は、チェックを強化することで解決されました。
  • CVE-2022-42861: Ant Security Light-Year Lab の pattern-f (@pattern_F_)

グラフィックドライバー

  • 影響:悪意を持って作成されたビデオファイルを解析すると、予期せぬシステム終了につながる可能性があります。
  • 説明:メモリ処理を強化することでこの問題を解決しました。
  • CVE-2022-42846:テキサス大学オースティン校のウィリー・R・バスケス氏

IOHIDファミリー

  • 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある
  • 説明:状態処理を改善することで競合状態に対処しました。
  • CVE-2022-42864:トミー・ミュア(@Muirey03)

iTunesストア

  • 影響:リモートユーザーによって予期せぬアプリの終了や任意のコードの実行が行われる可能性がある
  • 説明: URL の解析に脆弱性がありました。この問題は、入力検証を強化することで解決されました。
  • CVE-2022-42837: Momo SecurityのWeijia Dai(@dwj1210)

カーネル

  • 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある
  • 説明:追加の検証により競合状態に対処しました。
  • CVE-2022-46689: Google Project ZeroのIan Beer氏

libxml2

  • 影響:リモートユーザーによって予期せぬアプリの終了や任意のコードの実行が行われる可能性がある
  • 説明:入力検証の改善により整数オーバーフローに対処しました。
  • CVE-2022-40303: Google Project Zero の Maddie Stone

libxml2

  • 影響:リモートユーザーによって予期せぬアプリの終了や任意のコードの実行が行われる可能性がある
  • 説明:この問題は、チェックを強化することで解決されました。
  • CVE-2022-40304: Google Project ZeroのNed Williamson氏とNathan Wachholz氏

ppp

  • 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある
  • 説明:メモリ処理を強化することでこの問題を解決しました。
  • CVE-2022-42840:匿名の研究者

設定

  • 影響:アプリが任意の権限を使用できる可能性がある
  • 説明:状態管理を改善することでロジックの問題が解決されました。
  • CVE-2022-42855: Google Project Zero の Ivan Fratric 氏

サファリ

  • 影響:悪意のあるコンテンツをフレーム化したウェブサイトにアクセスすると、UIスプーフィングが発生する可能性があります。
  • 説明: URL の処理に、なりすましの脆弱性がありました。この問題は、入力検証を強化することで解決されました。
  • CVE-2022-46695: KirtiKumar Anandrao Ramchandani

ウェブキット

  • 影響:悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある
  • 説明:メモリ処理を強化し、メモリ消費の問題を解決しました。
  • CVE-2022-46691:匿名の研究者

ウェブキット

  • 影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスメモリが漏洩する可能性がある
  • 説明:メモリ処理を強化することでこの問題を解決しました。
  • CVE-2022-42852:トレンドマイクロゼロデイイニシアチブと協力するhazbinhotel

ウェブキット

  • 影響:悪意を持って作成されたWebコンテンツを処理すると、同一生成元ポリシーが回避される可能性がある
  • 説明:状態管理を改善することでロジックの問題が解決されました。
  • CVE-2022-46692: KirtiKumar Anandrao Ramchandani 

ウェブキット

  • 影響:悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある
  • 説明:入力検証を強化し、メモリ破損の問題を解決しました。
  • CVE-2022-46700: Google V8 セキュリティの Samuel Groß

ウェブキット

  • 影響:悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される場合があります。Appleは、この問題がiOS 15.1より前にリリースされたiOSのバージョンで積極的に悪用された可能性があるという報告を認識しています。
  • 説明:状態処理を改善することで、型の混乱の問題を解決しました。
  • CVE-2022-42856: Google 脅威分析グループの Clément Lecigne

著者: マイケル・サイモン、Macworld編集長

マイケル・サイモンは20年以上にわたりAppleを取材しています。iPodがまだiWalkだった頃からSpymacで噂を取材し始め、Appleがこれまでに製造したほぼ全てのiPhoneを所有しています。妻と息子、そして数え切れないほどのガジェットと共にコネチカット州に住んでいます。

Airpods
Posted by Timsod