米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月25日(米国時間)、「Apple Releases Security Updates|CISA」において、Appleが複数の脆弱性を修正したiOSおよびiPadOSの最新版となるiOS 14.6/iPadOS 14.6をリリースしたと伝えた。
これらの脆弱性を放置すると、悪意のある攻撃者によって任意のコード実行やユーザー情報の閲覧、アプリケーションのクラッシュ、権限の昇格などの被害を受ける可能性がある。
iOS 14.6/iPadOS 14.6ではCVEベースで計43件の脆弱性が修正されており、悪用された場合の影響も脆弱性によって異なる。対象となった脆弱性に関する概要は、Appleによる次のセキュリティ情報ページにまとめられている。
影響を受ける端末は、以下のとおりとなっている。
- iPhone 6s 以降
- iPad Pro (すべてのモデル)
- iPad Air 2 以降
- iPad (第5世代以降)
- iPad mini 4 以降
- iPod touch (第7世代)
過去5年間に発売されたほぼすべての主要なモバイルデバイスが対象に含まれているため、Apple製のモバイルデバイスを持つほとんどのユーザーが影響を受けると考えてよいだろう。
また、AppleではiOSおよびiPadOSと同様にtvOSとwatchOSのセキュリティアップデートもリリースしている。tvOS 14.6では26件、watchOS 7.5では25件の脆弱性が修正されている。iOS/iPadOSの脆弱性と重複するものも多数ある。詳細は次のページにまとめられている。
- About the security content of tvOS 14.6 - Apple Support
- About the security content of watchOS 7.5 - Apple Support
Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、Appleのセキュリティ情報を確認し、必要なアップデートを適用することを推奨している。