AppleがmacOS 12.2.1、iOS 15.3.1、Safari15.3でゼロデイ脆弱性を修正

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

act2メルマガ日曜版～Intego Tips～をお届けいたします。

AppleがmacOS 12.2.1、iOS 15.3.1、Safari15.3でゼロデイ脆弱性を修正
（この記事は、2022年2月10日にJoshuaLong
（https://www.intego.com/mac-security-blog/author/joshlong/）によって
MacSecurity Blogに投稿されたApple fixes active zero-day vuln with macOS
12.2.1,iOS 15.3.1, Safari 15.3の翻訳です）

 

今週の木曜日、実際の攻撃に利用されている脆弱性を修正するために、
AppleがmacOSMonterey、iOS、iPadOS、そしてSafariのセキュリティアップ
デートを公開しました。

 

Appleは、この脆弱性について次のように説明しています
（https://support.apple.com/ja-jp/HT213092、https://support.apple.com/ja-jp/HT213093、https://support.apple.com/ja-jp/HT213091）:

 

■WebKit

 

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2

and later, iPad 5th generation and later, iPad mini 4 and later, and

iPod touch (7th generation)

 

Available for: macOS Monterey

 

Available for: macOS Big Sur and macOS Catalina [as Safari 15.3]

 

Impact: Processing maliciously crafted web content may lead to arbitrary

code execution. Apple is aware of a report that this issue may have been

actively exploited.

 

Description: A use after free issue was addressed with improved memory

management.

 

CVE-2022-22620: an anonymous researcher

 

この脆弱性について、これ以外にはほとんど情報がありません。
しかし、Appleが「攻撃されている可能性がある」と言っているので、少なく
とも出回っている一種類の攻撃で利用されており、早急にアップデートする
必要があったと考えられます。

 

このアップデートをインストールすることで、最新のバージョン番号は
次のようになります:

 

iOS 15.3.1

iPadOS 15.3.1

macOS Monterey 12.2.1

Safari 15.3（ビルド番号は、Big

Surでは16612.4.9.1.8、Catalinaでは15612.4.9.1.8）

 

Appleは、火曜日に「公開されたCVEなし」とするwatchOS8.4.2も公開
しました。つまりセキュリティアップデートが含まれているのかについて、
現時点ではAppleから情報公開されないことを意味します。

 

watchOS、tvOS、そしてiCloud for Windowsなど、ほかのAppleソフトウェアが
この脆弱性に対応するためにWebKitをアップデートしなければならないのかは
不明です。必要であるなら、Appleが近日中に追加のアップデートを公開する
ことでしょう。

 

■iOS 15.3.1およびiPadOS 15.3.1にアップデートする方法

 

最新のiOSあるいはiPadOSのアップデートをインストールするには、端末で
設定アプリを開いて、設定 > 一般 > ソフトウェア・アップデートと確認して
ください。この手順は、iPhone、iPad、あるいはiPod touchのすべてで同じです。

 

■watchOS 8.4.2をインストールする方法

 

watchOSの最新アップデートをインストールするには、まずお使いのiPhoneが
最新の状態であり、iPhoneとウォッチが同じWi-Fiネットワークに接続していて、
ウォッチのバッテリ残量が50%以上あることを確認してください。その後、
iPhoneでWatchアプリを開いて一般 > ソフトウェア・アップデートと進んで
ください。

 

■macOSおよびSafariのバージョンを最新にアップデートする方法

 

お使いのMacに対応する最新バージョンのmacOS（あるいはSafari）を
入手するには、Appleメニューからシステム環境設定 > ソフトウェア・アップ
デートと開きます。

 

お使いのMacがmacOS High Sierra以前の場合は、App StoreでmacOSMontereyを
探してダウンロードしてください。

 

AppleがmacOS Big SurおよびmacOS Catalina用のSafariアップデートを公開
しましたが、可能な限りmacOS Montereyを使うことをお勧めします。Appleは、
古いmacOSのバージョンではセキュリティの全ての問題に対してパッチを公開
しているわけではありません。Appleのお粗末なパッチポリシーは

ユーザのセキュリティとプライバシーを危険に晒す可能性があります

（https://www.intego.com/mac-security-blog/apples-poor-patching-policies-potentially-make-users-security-and-privacy-precarious/）。

 

■アップデートする前にお使いのAppleの端末をバックアップする方法

 

使っているのがiOS、iPadOS、あるいはmacOSのいずれであっても、アップ

デートを適用する前に、必ずバックアップは作成しておく必要があります。

そうすれば、アップデートが予想外の結果になった場合でも直前の状態に

戻れます。

 

iPhoneをMacまたはiCloud（あるいは、その両方）にバックアップする方法に
ついては、Should You Back Up Your iOS Device to iCloud or Your Mac?
（https://www.intego.com/mac-security-blog/should-you-back-up-your-ios-device-to-icloud-or-itunes/）
を参照してください。

 

お使いのMacのバックアップについては“3-2-1 backupstrategy
（https://www.intego.com/mac-security-blog/data-backup-plan-how-to-implement-the-3-2-1-backup-strategy/）”
に従い、時々は次の記事にあるようにMacが正常にバックアップされているか
確認してください:

https://www.intego.com/mac-security-blog/how-to-verify-your-backups-are-working-properly/

株式会社アクト・ツー
Software Product Team