みなさん、こんにちは!
いつもact2ブログをご覧いただき、ありがとうございます。
今回は、2022年8月18日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿された"Apple Patches Two Actively Exploited Vulns in Monterey 12.5.1, iOS and iPadOS 15.6.1" (AppleがMonterey 12.5.1、iOS 、そしてiPadOS 15.6.1で悪用されている脆弱性を修正)について解説します。
■ 2022年8月17日、悪用されている2個の脆弱性(既に世に出回っているゼロデイ脆弱性)を修正するために Apple が最新バージョン のmacOS、iOS、そして iPadOS 用のアップデートを公開しました。この記事では、アップデートの内容を調べて Apple が何か見逃していないかを考察するものです。
■ macOS Monterey 12.5.1
このMac用最新オペレーティングシステムのアップデートは、macOS Montereyを実行している対応するすべてのMacで適用できます。AppleによるmacOS Montereyアップデートのリリースノートでは、macOS Monterey 12.5.1は「このアップデートをすべてのユーザに推奨します。このアップデートを適用するとmacOSのセキュリティが向上します」とされています( https://support.apple.com/ja-jp/HT213413 )。
このアップデートに含まれていることがわかっているセキュリティ関連の修正は、たったの2個ですが、どちらも非常に危険で今すぐにパッチされる必要があります:
Kernel
対象 OS:macOS Monterey
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について把握しています。*
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2022-32894:匿名の研究者
WebKit
対象 OS:macOS Monterey
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について把握しています。*
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
WebKit Bugzilla:243557
CVE-2022-32893:匿名の研究者
*この記事の著者による注意喚起
上記が、macOS Monterey 12.5.1のセキュリティに関してAppleが公開したすべてです。
このアップデートは、システム環境設定 > ソフトウェア・アップデートから適用できます。なお、macOS Mojave 以降を実行する対応するMacであれば、まず Monterey へのアップグレードが表示されます。お使いの Mac の macOS が High Sierra 以前の場合は、App Storeで macOS Monterey を探してダウンロードしてください。
■ macOS Big Sur および macOS Catalina 用のアップデート
2世代前までの macOS である macOS Big Sur あるいは macOS Catalina に Apple がアップデートを公開していないことにも触れざるを得ません。通常、Apple は macOS の最新バージョンから1世代前および2世代前までの macOS に対しても、全てではありませんがセキュリティアップデートを公開しています。
既に悪用されている脆弱性が旧バージョンの macOS に影響するとしても、パッチが公開されるとは限りません。詳細については、「Appleの充分でないパッチポリシーによりユーザのセキュリティとプライバシーが危うい状態です( https://act2blog.blogspot.com/2022/06/apple.html )」を参照ください。
今年の4月に、Appleはやはり2個の悪用されている脆弱性を修正するために macOS Monterey 12.3.1のみを公開しました。その後の Intego の記事( https://www.intego.com/mac-security-blog/apple-neglects-to-patch-zero-day-wild-vulnerabilities-for-macos-big-sur-catalina/ )など世論による圧力もあり、Apple は 6.5 週間後に macOS Big Sur および macOS Catalina 用のパッチを配布しました。
現時点では、Apple が macOS Monterey 12.5.1 で、修正した世に出回っている脆弱性の片方あるいは両方が Big Sur または Catalina にも危険なのかはわかっていません。どちらの脆弱性も匿名で報告されている上に、Apple が詳細情報を公開していないため、我々には知る術がありません。近い将来、セキュリティ研究者が最新の Monterey パッチをリバースエンジニアリングするか、Apple が旧バージョンの macOS に対して該当パッチを公開することがあればわかることでしょう。
この水曜日に、この脆弱性が Big Sur あるいは Catalina に影響するのか Intego から Apple に問い合わせてみました(少なくとも Ars Technica のレポータの一人も Apple に問い合わせており、回答を待っていることがわかっています)。Apple から回答があれば、あるいは Apple が該当パッチを旧バージョンの macOS に対しても公開したら、この記事を更新します。
■ iOS 15.6.1およびiPadOS 15.6.1
iPhone 6s以降、iPad Pro(全機種)、iPad Air 2以降、 iPad第五世代以降、iPad mini 4以降、そしてiPod touch(第七世代)が対象となります。
AppleのiOS 15アップデートのリリースノート( https://support.apple.com/ja-jp/HT212788 )によれば、iOS 15.6.1は「重要なセキュリティアップデートが含まれ、すべてのユーザに推奨されます」とされています。
macOS Monterey 12.5.1で修正されたものと同じ2個のセキュリティの問題が、iOSおよびiPadOS 15.6.1でも修正されています。脆弱性の詳細は、Appleが公開したiOS 15.6.1およびiPadOS 15.6.1のセキュリティコンテンツは、前出の脆弱性の詳細と全く同じです( https://support.apple.com/ja-jp/HT213412 )。
残念なことに、新しいiOSあるいはiPadOSのバージョンがユーザに対して公開されるまで1週間から4週間程度かかる場合があります{Intego Mac Podcast( https://podcasts.apple.com/us/podcast/intego-mac-podcast/id1293834627 )のエピソード233( https://podcast.intego.com/233 )でも触れています}。IntegoのThe Mac Security BlogのようなサードパーティによるApple関連ニュースやセキュリティ関連ニュースなどでアップデートについていち早く知ったユーザは、新しいアップデートが公開されたかどうか手動でチェックする必要があるでしょう。
Appleの新しい Studio Display は iOS 15 のフルバージョン(現時点では15.5)を実行することを考えると( https://www.macrumors.com/2022/03/18/apple-studio-display-runs-full-version-of-ios-15/ )、どこかの時点で該当アップデートがこのディスプレイに対しても公開される可能性があります。このディスプレイが登場したのがつい最近なので、Apple が Studio Display に対して iOS アップデートをどのように提供する計画なのかを推し量るにはまだ情報が少なすぎます(ただし、Apple はこのディスプレイに対して6月20日に公開した iOS 15.6 は提供しませんでした)。
最新の iOS あるいは iPadOS アップデートをインストールするには、端末上の設定 App で、一般 > ソフトウェア・アップデートを開いてください。この手順は、iPhone、Pad,、iPod touchですべて同じです。
■ watchOS 8.7.1
Apple Watch Series 3が対象です。
Appleは新しいwatchOS 8.7.1アップデートも公開したのですが、不思議なことにAppleが現在販売しているApple Watchで最も古い製品であるApple Watch Series 3だけが対象となっています。この原稿執筆時点で、Appleはこのアップデートには「公開されたCVE項目はない(つまり公開された既知の脆弱性はない)」としています。watchOS 8.7.1については、AppleのwatchOS 8アップデートのリリースノートのページにも一切の情報がありません( https://support.apple.com/ja-jp/HT212790 )。そのため、なぜApple Watch Series 3だけがアップデートの対象になっているのかは分かりません。
Integoは、watchOS 8.7.1にCVE以外のセキュリティ修正が含まれているのかをAppleに問い合わせています。また、macOS、iOS、そしてiPadOSでパッチされた脆弱性がwatchOSにも影響するのか、影響するのであればいずれはパッチが提供されるのかどうかもAppleに問い合わせています。Appleから回答があれば、この記事を更新します。
お使いのApple Watch Series 3にこのアップデートをインストールするには、まずiPhoneが最新で、iPhoneとウォッチが同じWi-Fiネットワークに接続され、ウォッチのバッテリが50%残っている状態であることを確認してください。その状態でiPhoneでWatch Appを開き一般 > ソフトウェア・アップデートを開いてください。
■ tvOSおよびaudioOSについて
今の所、AppleはApple TV用のtvOSおよびHomePod用のaudioOSに対してはアップデートを公開していません。
rmacOS、iOS、およびiPadOSで今回修正されたものと同じ脆弱性がtvOSにも存在しているかどうか、存在しているとしてもパッチが公開されるかどうかは、わかっていません。IntegoではAppleに問い合わせていますので、Appleから回答があればこの記事を更新します。
Appleは、HomePodアップデートについてセキュリティ関連の情報を公開したことがなく、audioOSについてはほとんど情報がありません。
■ 重要な注意
Apple が、悪用されているセキュリティの問題を修正するアップデートを公開したら、可能な限り速やかに適用するべきです。ですので、今回のmacOS Monterey、iOS、そしてiPadOSアップデートは、すぐに適用してください。一方、Apple Watch Series 3だけを対象にした今回のwatchOSアップデートは、それほど重要ではないかもしれません。
iOS、iPadOS、あるいはmacOSをアップデートする際には、アップデートを適用する前にデータをバックアップしてください。バックアップがあれば、アップデートで何か問題が起きても直前の状態へ戻ることが可能になります。
株式会社アクト・ツー
Software Product Team
