Apple は本日 iOS 16.5 をリリースしました。iOS 16.5 ではいくつかの興味深い新機能が提供されていますが、Apple の最新ソフトウェア アップデートを iPhone にインストールする理由はそれだけではありません。
最近の新しい iOS リリースでは標準となっているようですが、iOS 16.5 とその兄弟である iPadOS 16.5、tvOS 16.5、watchOS 9.5、macOS 13.4 にはすべて、セキュリティ修正の膨大なリストが含まれています。これらのうち少なくとも 3 つは深刻な問題です。
Apple は、iOS 16.5 および iPadOS 16.5 で修正される合計 39 件のセキュリティ脆弱性をリストしました。 のうち 3 つは「積極的に悪用された可能性がある」
これら 3 つの脆弱性が唯一の深刻な脆弱性ではありませんが、セキュリティ アナリストがハッカーや詐欺師が既にこれらの脆弱性を利用して iPhone ユーザーを攻撃していると考えているという事実により、これらの脆弱性はより深刻になっています。 。これにより、ほとんどのセキュリティ上の欠陥の領域を超えて、研究者が害を及ぼすために使用される前に発見することがよくあります。
これら 3 つの「積極的に悪用されている」脆弱性はすべて Apple の WebKit フレームワークで見つかっており、攻撃者が iPhone に侵入したり、悪意を持って作成された Web ページや、Web サイトに送信されたリンクから機密データにアクセスしたりする可能性があることを意味します。 Web プレビューを表示するメッセージング アプリ。
具体的には、脆弱性の 1 つにより、リモート攻撃者が「Web コンテンツ サンドボックス」(Web アプリによる他のシステム リソースへのアクセスを制限するメモリの分割された領域)から侵入できる可能性があります。もう 1 つは「機密情報を漏らす」可能性があり、3 つ目は「任意のコードの実行につながる」可能性があります。
ただし、これは、サイバー犯罪者によって悪用されているセキュリティ脆弱性がこれらだけであるという意味ではありません。 Apple と Apple が協力しているセキュリティ研究者という善良な人々が知っているのは、この 3 つだけです。残りの 36 個のセキュリティ上の欠陥の一部またはすべてが、人々の iPhone に侵入する方法を見つけることで生計を立てている「ブラックハット」ハッカーにも知られている可能性は十分にあります。
他の問題も、悪用されたという証拠がまだないという理由だけで、同様に深刻です。これには、アプリがプライバシー設定をバイパスして機密の位置情報を読み取ったり、許可なく連絡先や写真にアクセスしたりする可能性があるアクセシビリティ機能やコア位置情報機能の欠陥、アプリが「任意の実行」を可能にする可能性のあるカーネルの脆弱性などが含まれます。 [完全なシステムレベルの]カーネル権限を持つコード。」
さらに重要なのは、Apple が修正された問題のリストを公開したことで、悪意のあるハッカーがまだ iOS 16.4.1 を実行しているデバイスを悪用する方法を見つけるためのより多くの手がかりも提供したことです。.
完全なセキュリティ修正
これらの問題の多くは、iOS/iPadOS 16.4.1 だけに影響するわけではありません。実際、これらの脆弱性の修正は非常に重要であるため、Apple は本日、以下の機能を備えていない古いデバイス向けにセキュリティ アップデートをリリースしました。最新バージョンの iOS および macOS を実行していること。
これには、以前の iOS の 17 件の脆弱性を修正する iOS/iPadOS 15.7.6 が含まれます。 15 リリース、macOS Big Sur 11.7.7 および macOS Monterey 12.6.6 では、どちらもこれらのバージョンの macOS の 25 を超えるセキュリティ問題が修正されています。
Apple Watch と Apple TV もこれらの問題と無縁ではありません。 watchOS 9.5 では 32 件の脆弱性が修正され、tvOS 16.5 では 49 件という驚異的なセキュリティ問題に対処しています。また、どちらも 3 つの「積極的に悪用された」問題に対して脆弱でした。
言い換えれば、新しいマルチビュー スポーツ機能が tvOS 16.5 をインストールするほどではないとしても、セキュリティ パッチはそして修正されるはずです。 iOS 16.5のプライドの壁紙とスポーツタブについても同様です。多くの人は、何かが壊れるのを恐れて、新しいソフトウェア アップデートをインストールすることに不安を感じていますが、今日の世界では、最新のセキュリティ アップデートをインストールしないことで自分自身が脆弱になることの方が大きなリスクとなっています。
