United States Computer Emergency Readiness Team (US-CERT)は11月6日(米国時間)、「Apple Releases Security Updates for Multiple Products |CISA」において、AppleがiOS、iPadOS、tvOS、watchOS、およびmacOS Catalinaにおいて最新のセキュリティアップデートをリリースしたことを伝えた。このアップデートには3件のゼロデイ脆弱性の修正が含まれており、特に注意が必要とされている。
-
Apple Releases Security Updates for Multiple Products | CISA
今回公開された脆弱性の影響を受ける製品およびバージョンは以下のとおり。
- iOS 14.2 より前のバージョン
- iOS 12.4.9より前のバージョン
- iPadOS 14.2より前のバージョン
- tvOS 14.2より前のバージョン
- watchOS 7.1より前のバージョン
- watchOS 6.2.9より前のバージョン
- watchOS 5.3.9より前のバージョン
- macOS Catalina 10.15.7 ビルド番号19H15より前のバージョン
各セキュリティアップデートに関する詳細は、それぞれ次のページにまとめられている。
- About the security content of iOS 14.2 and iPadOS 14.2 - Apple サポート
- About the security content of iOS 12.4.9 - Apple サポート
- About the security content of tvOS 14.2 - Apple サポート
- About the security content of watchOS 7.1 - Apple サポート
- About the security content of watchOS 6.2.9 - Apple サポート
- About the security content of watchOS 5.3.9 - Apple サポート
- About the security content of macOS Catalina 10.15.7 Supplemental Update, macOS Catalina 10.15.7 Update - Apple サポート
深刻度や想定される影響はそれぞれの脆弱性によって異なるが、アップデートを適用せずに放置したら、任意のコード実行やサービス拒否(DoS)攻撃、情報漏洩、権限の昇格、アクセス制限の回避などといった被害を受ける危険性があるという。
特に、今回の修正に含まれる次の3件の脆弱性については、すでにこれらを悪用した攻撃が確認されているという報告もあり、早急に対策を行う必要がある。
- CVE-2020-27930:FontParserコンポーネントの不具合によって、悪意を持って作成されたフォントを処理する際に任意のコード実行がトリガーされる可能性がある。
- CVE-2020-27932:カーネルのメモリリークが原因で、悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある。
- CVE-2020-27950:悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある。
