United States Computer Emergency Readiness Team (US-CERT)は3月26日(米国時間)、「Apple Releases Security Updates |CISA」において、AppleがiOS、iPadOS、およびwatchOS向けに緊急のセキュリティアップデートをリリースしたことを伝えた。

このアップデートはWebKitに発見されたユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性に対する修正が含まれている。Appleによれば、すでにこの脆弱性が悪意のある攻撃に利用された可能性があるとのことで、早急な対応が推奨される。

各OSのアップデートに関する情報は、それぞれ次のページにまとめられている。

次の挙げるプロダクトが今回のアップデートの対象となる。

  • iOS 12.5.2 - Phone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、およびiPod touch(第6世代)
  • iOS 14.4.2 - iPhone 6s以降、およびiPod touch(第7世代)
  • iPadOS 14.4.2 - iPad Pro(すべてのモデル)、iPad Air 2以降、iPad 5世代以降、iPad mini4以降

- watchOS 7.3.3 - Apple Watch Series3以降

  • iPadOSにおけるソフトウェアアップデート通知

    iPadOSにおけるソフトウェアアップデート通知

該当する脆弱性はCVE-2021-1879として追跡されており、「悪意を持って作成されたWebコンテンツを処理することでユニバーサルクロスサイトスクリプティングが発生する可能性がある」と説明されているが、それ以上の詳細は明らかにされていない。

Appleでは2021年3月8日にもiOS、iPadOS、watchOS、そしてmacOSとSafariに対してWebKitの脆弱性(CVE-2021-1844)を修正するセキュリティアップデートをリリースしているが、今回の脆弱性はそれとは別のものになるので注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、Appleによるセキュリティ情報ページを確認した上で、必要な更新を適用することを推奨している。