火曜日、Apple は互換性のある iPhone および iPad 向けに iOS 17.4 および iPadOS 17.4 をリリースしました。大幅なアップデートです—少なくともEUに住んでいるならでは、サードパーティのアプリ ストアと WebKit 以外の Web ブラウザのサポートが導入されていますが、世界の他の地域でもいくつかのクールな新機能が提供されています。Apple Podcast の自動トランスクリプト118 個の新しい絵文字に。
ただし、iPhone または iPad でこのアップデートを優先すべき理由は、新機能だけではありません。実際、iOS と iPadOS 17.4 では 2 つの大きなゼロデイ セキュリティ脆弱性も修正されるため、Apple デバイスをできるだけ早く更新する必要があります。
iOS および iPadOS 17.4 のセキュリティ アップデート
Apple の新しいソフトウェア アップデートには通常、リリース ノート (アップデートの機能、変更点、バグ修正のリスト) が付属していますが、同社は通常、アップデートのセキュリティ ノートのリリースに時間がかかります。 17.4 のリリース後の数時間で、Appleがついにセキュリティノートを発行では、iPhone または iPad に含まれる 4 つのセキュリティ パッチについて詳しく説明します。
これらのパッチのうち 2 つはそれほど深刻ではありません。1 つはアプリが機密の位置情報を読み取れる可能性があるアクセシビリティの欠陥の修正で、もう 1 つは切り替え中にロックされたタブが表示される可能性がある Safari プライベート ブラウジングの欠陥の修正です。プライベートブラウジングのタブグループ。
ただし、他の 2 つの脆弱性は対処することがはるかに重要です。両方の修正、1 つはカーネル (iOS および iPadOS の中核) の欠陥に対するもの、もう 1 つは RTKit (iOS および iPadOS の時間機能を制御するプラットフォーム) の欠陥に対するもので、攻撃者がカーネルのメモリ保護をバイパスできるようになり、 iPhone または iPad の最も基本的な OS 機能に割り当てられたメモリを超えます。
これら 2 つの脆弱性は、恐ろしい見通しであるだけでなく、既知のエクスプロイトが存在することを Apple が確認しているため、特に深刻です。つまり、どこかの誰かがこれら 2 つの欠陥を知っているだけでなく、それを利用したということになります。そのため、これらの Apple デバイスを使用しているすべての人にとって、できるだけ早くアップデートすることが不可欠です。
特にカーネルの欠陥は深刻であるため、Apple は iPhone 8 以降の iOS および iPadOS 16.7.6 のアップデートも発行しました。彼らはまた、iPhone 6S 以降向けに iOS と iPadOS 15.8.2 をシードしましたが、セキュリティに関する注意事項を発行していないため、それらのアップデートパッチが正確に何であるかを言うことはできません。
iOS および iPadOS 17.4 のセキュリティに関する注意事項の全文は、以下でご覧いただけます。
iOS 17.4 および iPadOS 17.4
2024 年 3 月 5 日発売
追加の CVE エントリも近日公開予定です。
アクセシビリティ
対応機種:iPhone XS以降、iPad Pro 12.9インチ 第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 5世代以降
影響:アプリが機密の位置情報を読み取ることができる可能性がある。
説明: プライバシーの問題は、ログ エントリのプライベート データ編集を改善することで解決されました。
CVE-2024-23243: ルーマニア「チューダー ヴィアヌ」国立コンピューター サイエンス高校のクリスティアン ディンカ
カーネル
対応機種:iPhone XS以降、iPad Pro 12.9インチ 第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 5世代以降
影響: 任意のカーネル読み取りおよび書き込み機能を持つ攻撃者は、カーネル メモリ保護をバイパスできる可能性があります。 Apple は、この問題が悪用された可能性があるという報告を認識しています。
説明: メモリ破損の問題は、検証を改善することで解決されました。
CVE-2024-23225
RTキット
対応機種:iPhone XS以降、iPad Pro 12.9インチ 第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 5世代以降
影響: 任意のカーネル読み取りおよび書き込み機能を持つ攻撃者は、カーネル メモリ保護をバイパスできる可能性があります。 Apple は、この問題が悪用された可能性があるという報告を認識しています。
説明: メモリ破損の問題は、検証を改善することで解決されました。
CVE-2024-23296
Safari プライベート ブラウジング
対応機種:iPhone XS以降、iPad Pro 12.9インチ 第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 5世代以降
影響:ロックされたプライベートブラウズが有効になっている場合、タブグループの切り替え中にユーザーのロックされたタブが一時的に表示される場合がある。
説明: 状態管理を改善することで、ロジックの問題が解決されました。
CVE-2024-23256:オーム・コタワデ
iPhone または iPad をアップデートしてデバイスを保護する方法
iOS 17、iOS 16、または iOS 15 のいずれを実行している場合でも、iPhone または iPad をすぐに更新する必要があります。そのためには、次の場所にアクセスしてください[設定] > [一般] > [ソフトウェア アップデート]。デバイスで新しいアップデートを検索できるようにし、利用可能な場合は、画面上の指示に従って最新バージョンをダウンロードしてインストールします。持っている場合自動更新有効にすると、電源と Wi-Fi に接続するとデバイスが自動的に更新される可能性がありますが、これには時間がかかる場合があります。更新する最も速い方法は、手動で更新することです。
