Apple iOS/iPadOS/macOS/tvOS/watchOS における 37件の脆弱性が FIX

Apple fixes multiple flaws in iOS, iPadOS, macOS, tvOS, and watchOS devices

2022/07/21 SecurityAffairs — Apple は、iOS/iPadOS/macOS/tvOS/watchOS を搭載する各デバイスに、影響を与える 37件の脆弱性を修正するセキュリティ・アップデートを公開した。今回、Apple が対応した欠陥には、任意のコードの実行/特権の昇格/サービス拒否 (DoS)/情報漏えいなどにつながるものが含まれる。

以下は、Apple セキュリティ・アップデートの一覧である。

NAME AND INFORMATION LINKAVAILABLE FORRELEASE DATE
Safari 15.6macOS Big Sur and macOS Catalina20 Jul 2022
watchOS 8.7Apple Watch Series 3 and later20 Jul 2022
Security Update 2022-005 CatalinamacOS Catalina20 Jul 2022
macOS Big Sur 11.6.8macOS Big Sur20 Jul 2022
macOS Monterey 12.5macOS Monterey20 Jul 2022
tvOS 15.6Apple TV 4K, Apple TV 4K (2nd generation), and Apple TV HD20 Jul 2022

Apple 対応した最も深刻な問題の1つは、ヒープバッファ・オーバーフローの脆弱性 CVE-2022-2294 である。この脆弱性は、Web Real-Time Communications (WebRTC) コンポーネントに存在し、Chrome ユーザーを狙った攻撃で活発に悪用されていることが、Google の研究者により確認されている。この脆弱性は、2022年7月1日に、Avast Threat Intelligence チームの Jan Vojtesek により報告されている。

Safari 15.6 のリリースに伴い、同社が対処した任意のコード実行の問題は以下の通りである。

  • CVE-2022-32792 : 入力検証を改善し、境界外書き込みの問題に対応した。

また、Neural Engine/Audio/GPU Drivers/ImageIO/Kernel に影響を及ぼす、複数の任意コード実行の不具合にも対処している。

ユーザーは、iOS 15.6/iPadOS 15.6/macOS (Monterey 12.5, Big Sur 11.6.8, 2022-005 Catalina)/tvOS 15.6/watchOS 8.7 をインストールし、デバイスをアップグレードする必要がある。

久々の、Apple オールスター脆弱性対応の記事です。今年に入ってからですと、1月17日の「Apple Safari の WebKit に脆弱性:same-origin ポリシー違反による情報漏洩」や、3月31日の「Apple の緊急アップデート:iPhone/iPad/Mac の2つのゼロデイ脆弱性に対応」、6月10日の「Apple M1 Kernel の脆弱性 PACKMAN:ARM のポインタ認証を狙う攻撃が可能?」などがありますが、割と静かな 2022年の前半だったようですね。

%d bloggers like this: