米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月24日(米国時間)、「Apple Releases Security Updates for Multiple Products |CISA」において、Appleの複数製品に複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページからたどることができる。
- Apple security updates - Apple Support
- About the security content of iOS 12.5.7 - Apple Support
- About the security content of iOS 15.7.3 and iPadOS 15.7.3 - Apple Support
- About the security content of iOS 16.3 and iPadOS 16.3 - Apple Support
- About the security content of macOS Big Sur 11.7.3 - Apple Support
- About the security content of macOS Monterey 12.6.3 - Apple Support
- About the security content of macOS Ventura 13.2 - Apple Support
- About the security content of Safari 16.3 - Apple Support
- About the security content of watchOS 9.3 - Apple Support
影響を受けるとされるプロダクトは次のとおり。
- Apple Watch Series 4およびそれ以降のバージョン
- iPad 5世代およびそれ以降のバージョン
- iPad Air
- iPad Air 2
- iPad Air 3rd generationおよびそれ以降のバージョン
- iPad mini (4世代)
- iPad mini 2
- iPad mini 3
- iPad mini 5世代およびそれ以降のバージョン
- iPad Pro (すべてのモデル)
- iPhone 5s
- iPhone 6
- iPhone 6 Plus
- iPhone 6s (すべてのモデル)
- iPhone 7 (すべてのモデル)
- iPhone 8およびそれ以降のバージョン
- iPhone SE (1st generation)
- iPod touch (6世代)
- iPod touch (7世代)
- macOS Big Sur
- macOS Big Sur and macOS Monterey
- macOS Monterey
- macOS Ventura
今回のセキュリティアップデートで注目すべきは「iOS 12.5.7」が提供された点。このバージョンはすでにサポートが終了しており、対象となっているiPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch (6世代)もすでにサポートが終了している。しかし、Googleの脅威分析グループによって特定された脆弱性「CVE-2022-42856」が広く悪用されていることが確認されたため、サポートが終了しているiOS 12に関してもセキュリティアップデートが提供された。
CVE-2022-42856を悪用された場合、細工されたWebページを読み込ませることで任意のコードを実行させることができると説明されている。該当する製品を使用している場合は迅速にアップデートを適用することが望まれる。
なお、AppleはCISAが上記のセキュリティアップデートについて取り上げたあとで「About the security content of tvOS 16.3 - Apple Support」を発行しており、Apple TVに関してもセキュリティアップデートの提供を実施している。Apple TVを使っている場合も、情報を確認するとともに適切にアップデートを行うことが望まれる。