iPhone 16 およびその他のアップグレードされたハードウェア製品が一般に公開された Apple の最近のイベントを考えると、iOS 14 を待っていました。
今朝、私たちは 設定 > > ソフトウェアの更新、 念のため…
…しかし、何も表示されませんでした。
しかし、英国時間 [8-2022-09T12:18Z] の今夜午後 31 時少し前に、Apple の新製品と更新された製品の不思議な組み合わせを発表する大量の更新通知が受信トレイに届きました。
速報を読む前でさえ、私たちは試しました 設定 > > ソフトウェアの更新 繰り返しますが、今回はへのアップグレードが提供されました iOSの15.7、代わりのアップグレードを使用すると、すぐに iOSの16:
アップデートとアップグレードが同時に利用可能!
(iOS 16 へのアップグレードに行きました。ダウンロードは 3GB 弱でしたが、ダウンロードが完了すると、プロセスは予想よりも速く進み、これまでのところすべて正常に動作しているようです。)
アップグレードしない場合でも、必ず更新してください
あなたがしたくない場合は、明確にするために アップグレード まだ iOS 16 に対応していません。 updateなぜなら、 iOSの15.7 および iPadOS 15.7 アップデートには、ダビングされたバグの修正を含む多数のセキュリティ パッチが含まれます CVE-2022-32917.
バグ、その発見は単に 「匿名の研究者」、は次のように説明されます。
[バグパッチ:] カーネル 対象: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代) 影響: Anアプリケーションは、カーネル権限で任意のコードを実行できる可能性があります。 Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。 説明: この問題は、境界チェックを改善することで解決されました。
Apple が最後に 緊急ゼロデイパッチ カーネルコード実行バグが明らかになったのは、無害に見えるアプリ (おそらく、調べたときに明らかな危険信号を出さなかったために App Store に登録されたアプリを含む) でさえ、Apple のアプリごとのセキュリティロックダウンから解放される可能性があることを意味します…
…そして、デバイス全体を乗っ取る可能性があります。これには、XNUMX つまたは複数のカメラの使用、マイクの有効化、位置データの取得、スクリーンショットの取得、暗号化される前 (または復号化された後) のネットワーク トラフィックのスヌーピングなどのシステム操作を実行する権利の取得が含まれます。 )、他のアプリに属するファイルへのアクセスなど。
実際、この「問題」(または セキュリティホール と呼ぶ方がよいかもしれません) が実際に積極的に悪用されているため、疑いを持たないユーザーが、信頼できるソースと考えていたものから、疑いを持たないユーザーが既にインストールしているアプリがあると推測するのは合理的です。それらのアプリにはアクティブ化するコードが含まれていたとしてもこの脆弱性を悪用します。
興味深いことに、macOS 11 (Big Sur) には独自のアップデートが適用されます。 MacOSの11.7、ダビングされた XNUMX 番目のゼロデイ ホールにパッチを適用します。 CVE-2022-32894、上記の iOS ゼロデイ速報とまったく同じ言葉で説明されています。
ただし、CVE-2022-32894 は Big Sur のバグとしてのみリストされており、より新しいオペレーティング システム バージョンの macOS 12 (Monterey)、iOS 15、iPadOS 15、および iOS 16 は影響を受けないようです。
悪者がその悪用方法をすでに見つけた後にのみ修正されたセキュリティ ホールは、 ゼロデイ 最も熱心なユーザーまたはシステム管理者でさえ、積極的にパッチを適用できた可能性がある日はゼロ日だったからです。
全文
この一連のセキュリティ情報で発表された更新には、次のものが含まれます。
iOS 16 が一番下に表示されるように、メールが届いた順序 (逆順) でそれらを以下にリストします。
- APPLE-SA-2022-09-12-5: サファリ16. このアップデートは、macOS Big Sur (バージョン 11) および Monterey (バージョン 12) に適用されます。 macOS 10 (Catalina) 用の Safari アップデートはリストされていません。 修正されたバグのうち 2022 つは、リモートでコードが実行される可能性があります。つまり、ブービー トラップされた Web サイトがコンピューターにマルウェアを埋め込む可能性があります (その後、CVE-32917-XNUMX を悪用してカーネル レベルで乗っ取る可能性があります)。ただし、これらのバグはいずれもリストされていません。ゼロデイとして。 (見る HT213442.)
- APPLE-SA-2022-09-12-4: macOSモントレー12.6 CVE-2022-32917 の修正が含まれているため、この更新は緊急であると見なすことができます。 (見る HT213444.)
- APPLE-SA-2022-09-12-3: MacOSのビッグ・サー11.7 CVE-2022-32917 ゼロデイを含む、上記の macOS Monterey 向けのパッチと同様のパッチ。 この Big Sur アップデートは、上記の 2022 番目のカーネル ゼロデイである CVE-32894-XNUMX にもパッチを適用します。 (見る HT213443.)
- APPLE-SA-2022-09-12-2: iOSの15.7 および iPadOS 15.7 記事の冒頭で述べたように、これらの更新プログラムは CVE-2022-32917 にパッチを適用します。 (見る HT213445.)
- APPLE-SA-2022-09-12-1: iOSの16 大きなもの! これには、一連の新機能に加えて、macOS 用に個別に提供される Safari パッチ (このリストの上部を参照)、および CVE-2022-32917 の修正が含まれます。 興味深いことに、iOS 16 アップグレード速報は次のようにアドバイスしています。 「[追加の CVE エントリが間もなく追加される予定です」ですが、CVE-2022-23917 がゼロデイであることを示すものではありません。 それは、iOS 16 自体がまだ正式に「実際に使用されている」と見なされていないためか、既知のエクスプロイトがパッチが適用されていない iOS 16 ベータ版でまだ機能しないためか、わかりません. しかし、バグは iOS 15 から iOS 16 のコードベースに持ち越されたようです。 (見る HT213446.)
何をするか?
いつものように、 早期にパッチを適用し、頻繁にパッチを適用します。
iOS 15 から への本格的なアップグレード iOSの16.0は、インストール後に自身を報告するため、iOS 15 の既知のバグにパッチを適用します (iPadOS 16 の発表はまだ見ていません)。
まだアップグレードの準備ができていない場合は、必ずアップグレードしてください iOSの15.7、ゼロデイ カーネル ホールのためです。
iOS 16 がまだ言及されていない iPad では、 iPadOS 15.7 今すぐ – iPadOS 16 が登場するのを待つのはやめましょう。既知の悪用可能なカーネルの欠陥に不必要にさらされることになるからです。
Mac では、Monterey と Big Sur が XNUMX つのアップデートを取得します。XNUMX つは Safari にパッチを当てるためのものです。 サファリ16、およびオペレーティング システム自体の XNUMX つは、次の場所に移動します。 MacOSの11.7 (ビッグサー) または MacOSの12.6 (モントレー)。
今回は iOS 12 のパッチはなく、macOS 10 (Catalina) についても言及されていません。Catalina がサポートされなくなったのか、単に古すぎてこれらのバグを含めることができなかったのかはわかりません。
CVE の更新については、このスペースをご覧ください。
