2022年2月13日日曜日

AppleがmacOS 12.2、iOS 15.3、watchOS 8.4などを公開

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。


AppleがmacOS 12.2、iOS 15.3、watchOS 8.4などを公開
(この記事は、2022年1月26日にJayVrijenhoek
https://www.intego.com/mac-security-blog/author/jay-vrijenhoek/)によって
Mac
Security Blogに投稿されたApple releases macOS 12.2, iOS 15.3, watchOS 8.4 andmoreの

翻訳です)


今週の水曜日、AppleはそのすべてのオペレーティングシステムとSafariのアップデートを

公開しました。これらのアップデートに含まれているセキュリティパッチについて

見ていきましょう。


■macOS Monterey 12.2

現在macOS

Montereyを実行している対応するすべてのMacに対してAppleが公開した
Mac用の最新オペレーティングシステムのアップデートです。


この新しいmacOS

12.2には、お使いのMacのためのバグ修正とセキュリティアップデートが含
まれており、すべてのユーザにアップデートが推奨されています。新機能は
ありませんが、次のような企業向けのバグ修正もいくつか含まれています:


●Microsoft Outlookでメールを検索できなくなる問題が解決しました。

RPC認証レベルが高いWindowsプリントサーバへの認証が阻止される問題が
 解決しました。

ネットワーク機能拡張で認証プロキシを使用中にWebサイトが開く問題が
 解決しました。

ネットワーク機能拡張の接続が長時間使用した後で途切れがちになる問題が
 解決しました。


このアップデートには、以下の項目を含む少なくとも13個のセキュリティ
関連のパッチが含まれています:


iCloud

影響: アプリケーションがユーザのファイルにアクセスできる可能性がある。

説明:

シンボリックリンクのパス検証ロジックに脆弱性が存在します。この問題は、
パスのサニタイズ処理を改善することで解決されました。


Intel Graphics Driver

影響:

悪意のあるアプリケーションにカーネル権限を取得され、任意のコードを実行
される可能性がある。

説明: メモリ処理を強化し、メモリ破損の脆弱性に対処しました。


IOMobileFrameBuffer

影響:

悪意のあるアプリケーションにカーネル権限を取得され、任意のコードを実行
される可能性がある。Appleでは、この脆弱性が悪用された可能性があると
いう報告について把握しています。

説明: 入力検証を強化し、メモリ破損の脆弱性に対処しました。


PackageKit

影響: アプリケーションが、制限されたファイルにアクセスできる可能性がある。

説明: 検証を改良し、アクセス許可の脆弱性に対処しました。


WebKit Storage

影響: Webサイトに重要なユーザ情報を追跡される可能性がある。

説明: 入力検証を強化することで、IndexDB

APIのクロスオリジンの問題に対処しました。


開発者はメモリがディスプレイを扱う方法を制御するために
IOMobileFrameBufferを使っています。Monterey
12.2(および他のアップ
デート)に含まれているこのセキュリティ修正では、悪意のある者が都合の
良いシステムでカーネルレベルのコードを実行できるメモリ破損のバグが
修正されています。


WebKit

Storageのセキュリティ修正は、攻撃によりユーザのインターネットでの
行動を知るだけでなく、その個人情報を知ることができる脆弱性を修正して
います{Intego
Mac Podcastのエピソード223(https://podcast.intego.com/223
で触れています}:

https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/

約二ヶ月前の2021年11月下旬に報告されたこのバグが、やっと修正されたの
です。古いバージョンのSafariを使っているなら、次のWebサイトでこの
脆弱性について試験できます:

https://safarileaks.com/


Monterey 12.2に含まれているすべてのセキュリティパッチのリストは、次の
ページを参照ください:

https://support.apple.com/ja-jp/HT213054


対応するMacでmacOS Mojave以降を実行していれば、システム環境設定 >

ソフトウェアアップデートを開くとMontereyアップデートが表示されるので、
このアップデートを適用できます。対応するMacでもHigh

Sierra以前の場合は、App StoreでmacOS

Montereyを検索してダウンロードしてください。


■macOS Big Sur 11.6.3

まだマイナーアップデートがリリースされているBig

Surにも、アップデートが公開されました。このアップデートは「すべての
ユーザに推奨され、macOSのセキュリティを向上する」とされています。少
なくとも7個のセキュリティパッチが含まれており、そのほとんどがMonterey

12.2と同じです。


このアップデートには新機能が含まれていないのに、なぜセキュリティアップ
デートでなくマイナーアップデートなのかの理由はわかりません。macOS

Monterey以前、Appleは二世代前までのオペレーティングシステムのバージ
ョン番号は変えず、それらのOSに対しては別の番号が付いたセキュリティア
ップデートを公開していました。Catalinaまでそうだったのですが、Appleは
Big
Surでやり方を変え、現在では一世代前のmacOSでマイナーアップデートの
バージョン番号を採用しています。


すべてのセキュリティパッチのリストは、次のページを参照ください:

https://support.apple.com/ja-jp/HT213055 アップデートはお使いのMacでシス
テム環境設定
 > ソフトウェアアップデートを開けば適用できます。


■Security Update 2022-001 Catalina

このアップデートには、次のページにあるように少なくとも5個のセキュリ
ティパッチが含まれています:

https://support.apple.com/ja-jp/HT213056 そしていくつかの項目はありませ
んが、11.6.3

Big Surアップデートと同じものです。

IOMobileFrameBufferの修正は、このアップデートに含まれていません。
Catalinaには該当する脆弱性がないのか、Appleが二世代前の古いオペレー
ティングシステムだから修正しないことにしたのかまではわかりません。
このアップデートは、お使いのMacでシステム環境設定
 > ソフトウェアアップ
デートを開けば適用できます。


■Safari 15.3

macOS CatalinaおよびBig Surユーザ用にダウンロードが用意されたこのアッ
プデートでは、WebKit
Storageの修正であるものを含めた少なくとも4個の
脆弱性が修正されています。


簡単なリストが次のページで参照できます: https://support.apple.com/ja-jp/HT213058

このアップデートは、お使いのMacでシステム環境設定 >ソフトウェアアップ
デートを開けば適用できます。


■iOS 15.3およびiPadOS 15.3

iPhone 6s以降、iPad Pro(すべてのモデル)、iPad Air 2 以降、iPad
(第5世代以降)、iPad
mini 4 以降、iPod touch(第7世代)を対象としています。


iOS

15.3は「お使いのiPhone/iPadのためのバグ修正とセキュリティアップデートが
含まれ、すべてのユーザに推奨」とされています。このアップデートでは、
IOMobileFrameBufferおよびWebKit
Storageの問題を含む、少なくとも10個の
セキュリティの問題が修正されています。そのほかのパッチは、他のOSの
ものと同じです。


修正されたすべてのセキュリティの問題は、次のページで一覧できます:

https://support.apple.com/ja-jp/HT213053


この最新のiOSアップデートは、お使いの端末で設定 > 一般 >

ソフトウェア・アップデートを開いて適用できます。


■watchOS 8.4

Apple Watch Series 3以降を対象にしています。


この新しいwatchOS

8.4アップデートには「一部の充電器が期待通りに機能しないことがある問題」
の修正を含むバグの修正が含まれています。


ほとんどがiOSおよびiPadOSのアップデートと同じ少なくとも8個のセキュリ
ティパッチが含まれています。一覧は次のページで参照できます:

https://support.apple.com/ja-jp/HT213059


このアップデートを適用する場合は、まずお使いのiPhoneが最新の状態で
あり、iPhoneとウォッチが同じWi-Fiネットワークに接続していて、ウォッチの
バッテリ残量が50%以上あることを確認してください。その後、iPhoneで
Watchアプリを開いて一般
 > ソフトウェアアップデートと進んでください。


■tvOS 15.3

このアップデートには、一般的な処理能力と安定性の改良が含まれています。
iOS、iPadOS、そしてwatchOSのアップデートと同じ、少なくとも9個のセキ
ュリティパッチが含まれています。


一覧は次のページで参照できます:https://support.apple.com/ja-jp/HT207936

このtvOSのアップデートは、Apple TVで設定 > システム >

ソフトウェア・アップデートを開いて直接ダウンロードできます。


■アップデートについて安易に考えてはいけません

前述したアップデートの多くは大したことのないものに見えるかもしれませ
んが、中には重大な問題の修正も含まれています。何しろ、Appleはこれらの
アップデートを素早く公開しなければなりませんでした。IOMobileFrameBufferの
脆弱性は実際に盛んに攻撃されていると考えられますし、WebKit
Storageの
脆弱性については発見した組織、FingerprintJSが世界に情報公開してプレッシ
ャーをかけているので
https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/)、
これ以上無視することもできなかったのです。


小さなアップデートのように見えても、実際には重要なアップデートです。
今すぐに適用するべきです。


使っているのがiOS、iPadOS、あるいはmacOSのいずれであっても、アップ
デートを適用する前に、必ずバックアップは作成しておく必要があります。
そうすれば、アップデートが予想外の結果になった場合でも直前の状態に
戻れます。


macOSのバックアップについては、次の記事も参照ください:

https://www.intego.com/mac-security-blog/how-to-verify-your-backups-are-working-properly/


株式会社アクト・ツー
Software Product Team


0 件のコメント:

コメントを投稿