iOS 17.5が、ユーザー向けの新機能を多数搭載してリリースされました。また、このアップデートには15件の重要なセキュリティ修正も含まれています。パッチ適用内容の詳細は以下をご覧ください。
Appleは、セキュリティアップデートサイトでiOS 17.5の脆弱性修正の詳細を公開した。
幸いなことに、15 件の修正のうち、いずれも以前に悪用されたという報告はありませんでした。
しかし、アップデートをインストールし、できるだけ早くパッチを適用することは依然として重要です。これらの脆弱性の中には、攻撃者がユーザーデータにアクセスし、カーネル権限で任意のコードを実行できるものもあるためです。
- iOS 17.5がリリースされました。知っておくべきことはすべてここにあります。
iOS 17.5 のセキュリティ修正とは何ですか?
パッチが適用された iOS のアプリ/システムの一部を以下に示します。
- 検索
- カーネル
- 地図
- 注記
- リモートビューサービス
- スクリーンショット
- ショートカット
- 音声コントロール
- ウェブキット
App Store、Face ID、Safari ダウンロードなどの修正を含むアップデートもありました。
iOS 17.5 の新機能と完全なセキュリティ アップデートのリリース ノートについては以下をご覧ください。
AppleAVD
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: アプリがカーネル権限で任意のコードを実行できる可能性がある
説明: メモリ処理を強化することでこの問題を解決しました。
CVE-2024-27804: メイサム・フィロウジ (@R00tkitSMM)
Appleモバイルファイル整合性
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: 攻撃者がユーザーデータにアクセスできる可能性がある
説明: チェックを強化することでロジックの問題が解決されました。
CVE-2024-27816: ミッキー・ジン (@patch1t)
AVEビデオエンコーダ
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: アプリがカーネルメモリを公開できる可能性がある
説明: メモリ処理を強化することでこの問題を解決しました。
CVE-2024-27841: 匿名の研究者
検索
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: 悪意のあるアプリケーションがユーザーの現在位置を特定できる可能性がある
説明: 機密データをより安全な場所に移動することでプライバシーの問題が解決されました。
CVE-2024-27839: Alexander Heinrich、SEEMOO、TU Darmstadt (@Sn0wfreeze)、Shai Mishali (@freak4pc)
カーネル
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: 攻撃者が予期せぬアプリの終了や任意のコードの実行を引き起こす可能性があります
説明: メモリ処理を強化することでこの問題を解決しました。
CVE-2024-27818: Ant Security Light-Year Lab の pattern-f (@pattern_F_)
ライブラリシステム
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: アプリが保護されたユーザーデータにアクセスできる可能性がある
説明: 脆弱なコードを削除し、追加のチェックを追加することで、アクセス許可の問題が解決されました。
CVE-2023-42893: 匿名の研究者
地図
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: アプリが機密性の高い位置情報を読み取る可能性がある
説明: 検証を強化することで、パス処理の問題を解決しました。
CVE-2024-27810: 復旦大学のLFY@secsys
マーケットプレイスキット
対応機種: iPhone XS以降
影響: 悪意を持って作成されたウェブページは、他のウェブページでユーザーを追跡するスクリプトを配布できる可能性があります。
説明: 代替アプリマーケットプレイスのクライアント ID 処理を改善し、プライバシーの問題に対処しました。
CVE-2024-27852: Mysk Inc. の Talal Haj Bakry と Tommy Mysk (@mysk_co)
注記
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: iOSデバイスに物理的にアクセスできる攻撃者は、ロック画面からメモにアクセスできる可能性があります。
説明: この問題は、状態管理を改善することで解決されました。
CVE-2024-27835: アンドレ・エッス
リモートビューサービス
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: 攻撃者がユーザーデータにアクセスできる可能性がある
説明: チェックを強化することでロジックの問題が解決されました。
CVE-2024-27816: ミッキー・ジン (@patch1t)
スクリーンショット
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: 物理的にアクセスできる攻撃者がロック画面からアイテムを共有できる可能性がある
説明: 検証を強化し、アクセス権の問題を解決しました。
CVE-2024-27803: 匿名の研究者
ショートカット
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: ショートカットにより、ユーザーの同意なしに機密データが出力される可能性がある
説明: 検証を強化することで、パス処理の問題を解決しました。
CVE-2024-27821: Kandji の Kirin (@Pwnrin)、zbleet、および Csaba Fitzl (@theevilbit)
同期サービス
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: アプリがプライバシー設定を回避できる可能性がある
説明: この問題は、チェックの改善によって解決されました
CVE-2024-27847: ミッキー・ジン (@patch1t)
音声コントロール
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: 攻撃者が権限を昇格できる可能性がある
説明: チェックを強化することでこの問題を解決しました。
CVE-2024-27796: ajajfxhj
ウェブキット
対象機種: iPhone XS以降、iPad Pro 12.9インチ(第2世代以降)、iPad Pro 10.5インチ、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第6世代以降)、iPad mini(第5世代以降)
影響: 任意の読み取りおよび書き込み権限を持つ攻撃者がポインタ認証をバイパスできる可能性がある
説明: チェックを強化することでこの問題を解決しました。
WebKit Bugzilla: 272750
CVE-2024-27834: トレンドマイクロのゼロデイイニシアチブに協力する Manfred Paul (@_manfp)
追加の認識
アプリストア
匿名の研究者の協力に感謝の意を表します。
コアHAP
Adrian Cable 氏のご協力に感謝いたします。
顔認証
ご協力いただいた Lucas Monteiro、Daniel Monteiro、Felipe Monteiro に感謝いたします。
ヒアリングコア
匿名の研究者の協力に感謝の意を表します。
管理された構成
遥遥领先 (@晴天组织) のご協力に感謝いたします。
Safari ダウンロード
ご協力いただいた Arsenii Kostromin (0x3c3e) に感謝いたします。
ステータスバー
ご協力いただいた Lakshmi Narain College of Technology Bhopal の Abhay Kailasia (@abhay_kailasia) に感謝いたします。
トップ画像はAppleより
planort.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
