アップルは、2週間前にリリースしたiPhoneのソフトウェアアップデートで、現在では積極的に悪用されていたとされるゼロデイのセキュリティ脆弱性が修正されたことを確認した。
アップデートiOS 16.1.2は11月30日にリリースされ、iPhone 8以降を含むすべての対応iPhoneに、詳細不明の「重要なセキュリティアップデート」とともに展開された。
Appleは火曜日のセキュリティアップデートページで、今回のアップデートでSafariなどのアプリを動かすブラウザエンジンであるWebKitの脆弱性が修正されたと発表しました。この脆弱性が悪用されると、ユーザーのデバイス上で悪意のあるコードが実行される恐れがあります。この脆弱性は、ベンダーに脆弱性修正の期限がゼロ日間(0日)前であることから「ゼロデイ」と呼ばれています。
アップルは、国家が支援するスパイウェア、ハッキング、サイバー攻撃を調査しているグーグルの脅威分析グループのセキュリティ研究者がWebKitのバグを発見し報告したと述べた。
WebKitのバグは、ユーザーがブラウザ(またはアプリ内ブラウザ)で悪意のあるドメインにアクセスした際に悪用されることが多いです。WebKitを標的とした脆弱性を悪用し、デバイスのオペレーティングシステムやユーザーの個人データに侵入する手口を見つけることは、悪意のある攻撃者にとって珍しくありません。WebKitのバグは他の脆弱性と「連鎖」し、デバイスの多層防御を突破する可能性があります。
Appleは火曜日の開示情報で、この脆弱性が2021年10月にリリースされた「iOS 15.1より前にリリースされたiOSのバージョンに対して」悪用されたことを認識していると述べた。そのため、まだiOS 16にアップデートしていない人のために、AppleはiPhone 6s以降および一部のiPadモデルを使用しているユーザー向けに、WebKitの脆弱性を修正するiOSおよびiPadOS 15.7.2もリリースした。
このバグはCVE-2022-42856、またはWebKit 247562として追跡されています。Appleが2週間にわたってバグの詳細を公表しなかった理由は不明です。AppleとGoogleの両社はコメント要請に応じませんでした。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Appleはその後、iCloudにバックアップされたデータのエンドツーエンドの暗号化やその他の新機能を含むiOS 16.2をリリースした。
Xnspyストーカーウェアが数千台のiPhoneとAndroidデバイスをスパイ
トピック
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
