Appleは米国時間8月31日、「iPhone 5s」と「iPhone 6」「iPhone 6 Plus」「iPad Air」「iPad mini 2」「iPad mini 3」、そして「iPod touch」(第6世代)向けに「iOS 12.5.6」をリリースした。これは、「iOS 12」に存在する脆弱性に対処する重要なセキュリティアップデートだ。
iOS 12.5.6で対処されるのは、同社が8月中旬に「iOS 15.6.1」向けのアップデートで対処した2件の脆弱性のうちの1件であり、リモートコード実行(RCE)につながるものとなっている。
「iOS 12」に対するアップデートはかなり久しぶりだ。上記のモデル向けのアップデートが最後にリリースされたのは2021年9月であり、これらモデルは「iOS 15」にアップグレードすることができない。
AppleはiOS 15.6.1で、活発に悪用されている2つの脆弱性に対処した。それらは、カーネル権限で任意のコードを実行する不正なアプリを作成できる脆弱性「CVE-2022-32894」と、「Safari」ブラウザーの描画エンジンであるWebKitに潜んでおり、不正なウェブサイトから任意のコード実行を可能にする脆弱性「CVE-2022-32893」だ。
前者はiOS 12に影響を与えないが、WebKitの脆弱性については同OSに影響を与える。
Appleは、同社のセキュリティアドバイザリーに「悪意を持って作成されたウェブコンテンツを処理すると、任意のコードを実行される可能性がある。Appleでは、この脆弱性が悪用された可能性があるという報告について把握している」と記している。
iPhone 5sと初代iPad Airは2013年9月に、iPhone 6は2014年9月にリリースされたモデルだ。
これらモデルを既に廃棄したユーザーもいるだろう。バンキングアプリなど重要なアプリは、旧バージョンのiOSで動作しないことも多いためだ。
しかし、この脆弱性が活発に悪用されていることを考えると、上記モデルを今なお利用している人たちは、「設定」の「一般」にある「ソフトウェア・アップデート」をタップし、アップデートの有無をチェックするべきだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
