米Appleは7月26日(現地時間)、「iOS 14.7.1」および「iPad OS 14.7.1」をリリースした。“既に悪用された可能性のある”脆弱性を修正した。iOSでは「Apple Watch」のペアリング問題も修正した。
Touch IDを搭載したiPhoneモデルで「iPhoneでロック解除」機能を使ってペアリング済みのApple Watchのロックを解除できない問題を修正した。
だが、このアップデートで重要なのはセキュリティ関連だ。「この問題が積極的に悪用された可能性があるという報告を認識している」のだ。悪用されると、カーネル権限で任意のコードを実行できる可能性がある。
このような、メーカーが気付いていない脆弱性を悪用する攻撃は「ゼロデイ攻撃」と呼ばれ、メーカーが脆弱性を修正するまで被害が拡大する可能性がある。
この脆弱性修正は、iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 5世代以降、iPad mini 4以降、iPod touch(第7世代)が対象だ。
Appleは前回19日の「iOS 14.7」のアップデートでは37もの脆弱性に対処しており、セキュリティアップデートの説明を公開するまでに3日かかった。
Appleはこの脆弱性「CVE-2021-30807」の報告者を「匿名の研究者」としており、この修正がNSOのスパイウェア「Pegasus」に対処するものかどうかは不明だ。
Appleは同日、同じ「CVE-2021-30807」の脆弱性を修正する「macOS Big Sur 11.5.1」もリリースした。
いずれのOSでも至急アップデートすることをお勧めする。
関連記事
関連リンク