注目していた人たちのために、Apple は昨日、すべてのプラットフォーム向けのアップデート集をリリースしました。 iOS、macOS、watchOS、tvOS は対応する改善と修正を受けましたが、そのうちの 1 つが他のものよりも際立っています。 iOS 11.2.5 には、ユーザーにとって必須となる重要な新しいセキュリティ対策が含まれています。
このバージョンの iOS をまだインストールしていない場合は、今すぐインストールしてください。その理由を見てみましょう。
iOS 11.2.5のセキュリティ向上
Apple が公開したiOS 11.2.5 のセキュリティ詳細ページによると、同社が iOS デバイスのセキュリティに関連する最大 10 件のバグとバグを修正したことがわかります。
いつものように、Apple は関係する領域、影響を受ける可能性のあるデバイス、その影響、説明、識別コードを詳しく説明します。間違いを見つけた人を姓名で認識することを忘れずに。以下にこれらの修正の概要を示します。
- オーディオ、CVE-2018-4094:悪意のあるオーディオ ファイルを処理すると、ランダムなコードが実行される可能性があります。
- コア Bluetooth、CVE-2018-4087 および CVE-2018-4095: アプリケーションがシステム権限でランダムなコードを実行する可能性があります。
- カーネル、CVE-2018-4090: アプリケーションが制限されたメモリを読み取る可能性がありました。
- カーネル、CVE-2018-4092: アプリケーションが制限されたメモリを読み取る可能性がありました。
- カーネル、CVE-2018-4082: アプリケーションがカーネル権限で任意のコードを実行する可能性があります。
- カーネル、CVE-2018-4093: アプリケーションが制限されたメモリを読み取る可能性がありました。
- LinkPresentation、CVE-2018-4100:悪意のあるメッセージを処理すると、サービス拒否が発生する可能性があります (これは、数日前の iMessage のバグです)
- QuartzCore、CVE-2018-4085:悪意のある Web処理により、ランダムなコードが実行される可能性があります。
- セキュリティ、CVE-2018-4086: 証明書に使用制限が誤って適用されている可能性があります (面白いことに、これは Netflix の従業員によって報告されたバグです)。
- WebKit、CVE-2018-4088、CVE-2018-4089、および CVE-2018-4096: 悪意のある Web 処理により、ランダムなコードが実行される可能性があります。
シャドウ・オブ・スペクターとメルトダウン
数日前、私たちはIphoneFocus.clickTalksで Spectre と Meltdown の脆弱性について取り上げました。どちらも、カーネル プロセスやオペレーティング システム ブラウザを通じて、さまざまな方法で iOS に影響を与えました。
修正されたバグのリストを見ると、Apple が以前のアップデートで対処されなかった Spectre と Meltdown に関連する脆弱性を発見して修正したと考えるのに十分な兆候があります。 iOS 11.2.2 の場合のように、Apple は具体的に名前を挙げて言及していませんが、セキュリティ脆弱性の検索と報告を担当するProject Zeroの Google エンジニアが認められていることがわかります。実際、Project Zero についての言及はカーネルと WebKit のセクションに集中しています。
正確に何が修正されたのかを知るには、セキュリティ研究者がこれらの修正を分析するのを待つ必要があります。しかし、それまでの間、そして数日前にお話ししたように、デバイスを iOS 11.2.5 にアップデートすることはほぼ義務です。