AppleがmacOS Big SurとCatalinaに謎のセキュリティアップデートを公開

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

act2ブログ日曜版～IntegoTips～をお届けいたします。

AppleがmacOS Big SurとCatalinaに謎のセキュリティアップデートを公開
（この記事は、2022年2月14日にJoshuaLong
（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac

Security Blogに投稿されたApple releases mystery security updates for macOS
BigSur, Catalinaの翻訳です）

この月曜日に、AppleがmacOS Big SurおよびmacOS

Catalinaのセキュリティアップデートを公開しました。しかし、不思議なことに
Appleはこのアップデートで対応したセキュリティの問題に関して情報を提供
していないのです。

この最新のmacOS用アップデートについて、わずかながらでも分かっている
ことを説明したいと思います。

■macOS Big Sur 11.6.4およびSecurity Update 2022-002

Catalinaには、何が含まれているのでしょうか？

Appleの“macOS Big Sur

のアップデートの新機能”ページ（https://support.apple.com/ja-jp/HT211896）
では、macOSBig Sur 11.6.4について次のように簡単に触れています:

「このアップデートで macOSのセキュリティが向上します。すべてのユーザに
　このアップデートを推奨します。」

Appleは、“macOS Catalinaのアップデートの新機能”ページ
（https://support.apple.com/ja-jp/HT210642）をもう更新していませんので、
今回のSecurityUpdate 2022-002 Catalinaアップデートについて特別な発表は
ありません。

通常であれば、Appleは“Appleセキュリティアップデート”ページ
（https://support.apple.com/ja-jp/HT201222）でセキュリティ修正についての
詳細情報を提供するはずなのです。

しかし、今のところAppleはこの最新アップデートの内容についてダンマリを
決め込んでいます。

その代わり、Appleはどちらのアップデートに対しても「このアップデートには
CVEの公開エントリがありません。」とだけ記載しています。研究者が同じ
セキュリティの問題が複数の製品に影響するか調べられるように、脆弱性には
CVE番号があるのが普通なのにです。

AppleがCVE番号のないセキュリティアップデートを公開するのは、非常に
珍しいことです。実際のところ、Appleがセキュリティリリースノートに一切の
CVE情報が含まれていないmacOSのセキュリティ専用アップデートを公開する
のは初めてのことでしょう。

この件についてAppleに連絡してみたので、Appleから回答があれば、その内容
とともにこの記事を更新します。

■新しいBig SurおよびCatalinaアップデートに含まれていないと思われるもの

先週のBig SurおよびCatalina用のSafari

15.3アップデートに含まれていたWebKitの脆弱性は、今回の2個のアップ
デートに含まれていないと推測できます。
（https://act2blog.blogspot.com/2022/02/applemacos-1221ios-1531safari153.html）
Appleは、この脆弱性をCVE-2022-22620と呼んでいます。

■macOSのバージョンを最新にアップデートする方法

お使いのMacに対応する最新バージョンのmacOSを入手するには、Apple
メニューからシステム環境設定 > ソフトウェア・アップデートと開きます。

お使いのMacを何年もアップグレードしておらず、まだmacOS High Sierra
以前をお使いの場合は、AppStoreでmacOS Montereyを探してダウンロード
してください。

お使いのMacがMontereyに対応しているのにアップグレードしていないのなら、
このBigSurあるいはCatalinaアップデートを適用するだけでなくMontereyに
アップグレードすることを強くお勧めします。

Appleは、まだmacOS Big SurおよびmacOS

Catalinaのセキュリティアップデートを公開していますが、古いmacOSの
バージョンではセキュリティの全ての問題に対してパッチを公開しているわけ
ではありません。Appleのお粗末なパッチポリシーはユーザのセキュリティと
プライバシーを危険に晒す可能性があります

（https://www.intego.com/mac-security-blog/apples-poor-patching-policies-potentially-make-users-security-and-privacy-precarious/）。

■アップデートする前にお使いのAppleの端末をバックアップする方法

お使いのMacのバックアップについては“3-2-1 backupstrategy
（https://www.intego.com/mac-security-blog/data-backup-plan-how-to-implement-the-3-2-1-backup-strategy/）”
に従い、時々は次の記事にあるようにMacが正常にバックアップされているか
確認してください:

https://www.intego.com/mac-security-blog/how-to-verify-your-backups-are-working-properly/

株式会社アクト・ツー
Software Product Team

Snagit 2022.03がリリースされました

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

Snagit 2022のアップデート版（Snagit 2022.03）がリリースされましたので、
お知らせいたします。

現在、Snagit 2022をご利用のお客様は、無償でアップデートが可能です。

Snagit2022を起動し「Snagit」メニューから「更新プログラムを確認」を
選んでいただきますと、最新版の2022.03がご入手いただけます。

Snagit 2022.03の更新内容は下記のとおりです。

・SnagitHelper の効果のテキスト フィールドに上下矢印の調整を追加しました。

・UI がない場合のテキストの取り込み操作に成功と失敗のフィードバックを
　追加しました。

・画像やビデオの共有出力をすべて可視化 (ただし適切に無効化) し、発見性を
　向上しました。

・使用可能な CPU コアの使用率を高めました。

・キャンバスの色を調整する際に、キャンバスがリアルタイムで更新されるように
　しました。

・snagproj 形式ファイルを snagx 形式に変換する際にクラッシュする不具合を
　修正しました。

・ツール パネルがない状態で Snagit Editor が開く場合がある問題を修正しました。

・テーマを再インポートした後、お気に入りが表示されない問題を修正しました。

・テーマ エディターに不適切なフォントが表示される問題を修正しました。

・複数選択したテキストの変更が最初の部分にしか適用されない問題を修正しました。

・テキストの影が重複する場合がある問題を修正しました。

・縦長のステップの文字を回転すると領域外にはみ出す問題を修正しました。

・ステップ ツールで透明なテキストが使用できるように修正しました。

・All-in One キャプチャで、M1 Mac の Web カメラのライトが常に点灯して
　しまう問題を修正しました。

・PiP の形状を調整すると歪んでしまう問題を修正しました。

・ビデオの HUD が表示されない問題を修正しました。

・切り抜きツールでオリジナルに戻すと、背景がオフセットされる問題を修正
　しました。

・Editor で追加したタグがライブラリに表示されない問題を修正しました。

・名前を変更したタグがスクロールすると表示されなくなる問題を修正しました。

・ファイルの移動後にトレイとタイトル バーが更新されない問題を修正しました。

・テキストの取り込みが失敗したときに誤ったアラートが表示される問題を修正
　しました。

・Monterey で [ピクチャ] 内のライブラリ フォルダー アイコンが表示されない
　問題を修正しました。

・Box プラグインの説明文を修正しました。

・・画面録画の権限のステータスに矛盾がある問題を修正しました。

・Snagit Editor の 2 つのインスタンスが同時に実行される問題を修正しました。

・SnagitHelper の 2 つのインスタンスが同時に実行される問題を修正しました。

・キャプチャ権限のダイアログが複数回開く場合がある問題を修正しました。

・ライブラリを複数選択したときの [情報を見る] オプションを削除しました。
　 (動作しないため)

・キャプチャのプリセットのホットキー フィールドのサイズが異なる問題を
　修正しました。

Snagit 2022（スナグイット）

　https://www.act2.com/snagit2022

株式会社アクト・ツー
Software Product Team

AppleがmacOS 12.2.1、iOS 15.3.1、Safari15.3でゼロデイ脆弱性を修正

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

act2メルマガ日曜版～Intego Tips～をお届けいたします。

AppleがmacOS 12.2.1、iOS 15.3.1、Safari15.3でゼロデイ脆弱性を修正
（この記事は、2022年2月10日にJoshuaLong
（https://www.intego.com/mac-security-blog/author/joshlong/）によって
MacSecurity Blogに投稿されたApple fixes active zero-day vuln with macOS
12.2.1,iOS 15.3.1, Safari 15.3の翻訳です）

 

今週の木曜日、実際の攻撃に利用されている脆弱性を修正するために、
AppleがmacOSMonterey、iOS、iPadOS、そしてSafariのセキュリティアップ
デートを公開しました。

 

Appleは、この脆弱性について次のように説明しています
（https://support.apple.com/ja-jp/HT213092、https://support.apple.com/ja-jp/HT213093、https://support.apple.com/ja-jp/HT213091）:

 

■WebKit

 

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2

and later, iPad 5th generation and later, iPad mini 4 and later, and

iPod touch (7th generation)

 

Available for: macOS Monterey

 

Available for: macOS Big Sur and macOS Catalina [as Safari 15.3]

 

Impact: Processing maliciously crafted web content may lead to arbitrary

code execution. Apple is aware of a report that this issue may have been

actively exploited.

 

Description: A use after free issue was addressed with improved memory

management.

 

CVE-2022-22620: an anonymous researcher

 

この脆弱性について、これ以外にはほとんど情報がありません。
しかし、Appleが「攻撃されている可能性がある」と言っているので、少なく
とも出回っている一種類の攻撃で利用されており、早急にアップデートする
必要があったと考えられます。

 

このアップデートをインストールすることで、最新のバージョン番号は
次のようになります:

 

iOS 15.3.1

iPadOS 15.3.1

macOS Monterey 12.2.1

Safari 15.3（ビルド番号は、Big

Surでは16612.4.9.1.8、Catalinaでは15612.4.9.1.8）

 

Appleは、火曜日に「公開されたCVEなし」とするwatchOS8.4.2も公開
しました。つまりセキュリティアップデートが含まれているのかについて、
現時点ではAppleから情報公開されないことを意味します。

 

watchOS、tvOS、そしてiCloud for Windowsなど、ほかのAppleソフトウェアが
この脆弱性に対応するためにWebKitをアップデートしなければならないのかは
不明です。必要であるなら、Appleが近日中に追加のアップデートを公開する
ことでしょう。

 

■iOS 15.3.1およびiPadOS 15.3.1にアップデートする方法

 

最新のiOSあるいはiPadOSのアップデートをインストールするには、端末で
設定アプリを開いて、設定 > 一般 > ソフトウェア・アップデートと確認して
ください。この手順は、iPhone、iPad、あるいはiPod touchのすべてで同じです。

 

■watchOS 8.4.2をインストールする方法

 

watchOSの最新アップデートをインストールするには、まずお使いのiPhoneが
最新の状態であり、iPhoneとウォッチが同じWi-Fiネットワークに接続していて、
ウォッチのバッテリ残量が50%以上あることを確認してください。その後、
iPhoneでWatchアプリを開いて一般 > ソフトウェア・アップデートと進んで
ください。

 

■macOSおよびSafariのバージョンを最新にアップデートする方法

 

お使いのMacに対応する最新バージョンのmacOS（あるいはSafari）を
入手するには、Appleメニューからシステム環境設定 > ソフトウェア・アップ
デートと開きます。

 

お使いのMacがmacOS High Sierra以前の場合は、App StoreでmacOSMontereyを
探してダウンロードしてください。

 

AppleがmacOS Big SurおよびmacOS Catalina用のSafariアップデートを公開
しましたが、可能な限りmacOS Montereyを使うことをお勧めします。Appleは、
古いmacOSのバージョンではセキュリティの全ての問題に対してパッチを公開
しているわけではありません。Appleのお粗末なパッチポリシーは

ユーザのセキュリティとプライバシーを危険に晒す可能性があります

（https://www.intego.com/mac-security-blog/apples-poor-patching-policies-potentially-make-users-security-and-privacy-precarious/）。

 

■アップデートする前にお使いのAppleの端末をバックアップする方法

 

使っているのがiOS、iPadOS、あるいはmacOSのいずれであっても、アップ

デートを適用する前に、必ずバックアップは作成しておく必要があります。

そうすれば、アップデートが予想外の結果になった場合でも直前の状態に

戻れます。

 

iPhoneをMacまたはiCloud（あるいは、その両方）にバックアップする方法に
ついては、Should You Back Up Your iOS Device to iCloud or Your Mac?
（https://www.intego.com/mac-security-blog/should-you-back-up-your-ios-device-to-icloud-or-itunes/）
を参照してください。

 

お使いのMacのバックアップについては“3-2-1 backupstrategy
（https://www.intego.com/mac-security-blog/data-backup-plan-how-to-implement-the-3-2-1-backup-strategy/）”
に従い、時々は次の記事にあるようにMacが正常にバックアップされているか
確認してください:

https://www.intego.com/mac-security-blog/how-to-verify-your-backups-are-working-properly/

株式会社アクト・ツー
Software Product Team

ボリューム初期化は地味に便利な機能です。

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

TechToolPro15には「ボリューム初期化」機能が搭載されています。
この機能なんですが、実は地味に便利な機能だったりします。
例えば、同じくTechToolProの機能で「ボリュームクローン」を使って、ディスクの
複製を作ろうとします。
そのための準備として、例えば新しい外付けのハードディスクを買ってきた場合、
まず最初に行うのは、ハードディスクの初期化ではないでしょうか。
TechToolProにボリューム初期化機能が付いてなかったころは、いちいち
「ディスクユーティリティ」を起動して新しいハードディスクを初期化する・・・
といったひと手間を行う必要がありました。
しかし、今はTechToolProのボリューム初期化画面から、新しいハードディスクを
選択して「ボリュームを初期化」ボタンをクリック
すれば、TechToolPro上から簡単にディスクの初期化を行うことができてしまいます。
ユーザの意見を取り入れ、すべての操作がTechToolProで完結してしまう利便性を
提供する、そこもまたTechToolProが長く皆様に愛用される理由ではないでしょうか。

TechToolPro15（テックツールプロ）

　https://act2.com/ttp15

株式会社アクト・ツー
Software Product Team

AppleがmacOS 12.2、iOS 15.3、watchOS 8.4などを公開

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

AppleがmacOS 12.2、iOS 15.3、watchOS 8.4などを公開
（この記事は、2022年1月26日にJayVrijenhoek
（https://www.intego.com/mac-security-blog/author/jay-vrijenhoek/）によって
MacSecurity Blogに投稿されたApple releases macOS 12.2, iOS 15.3, watchOS 8.4 andmoreの

翻訳です）

今週の水曜日、AppleはそのすべてのオペレーティングシステムとSafariのアップデートを

公開しました。これらのアップデートに含まれているセキュリティパッチについて

見ていきましょう。

■macOS Monterey 12.2

現在macOS

Montereyを実行している対応するすべてのMacに対してAppleが公開した
Mac用の最新オペレーティングシステムのアップデートです。

この新しいmacOS

12.2には、お使いのMacのためのバグ修正とセキュリティアップデートが含
まれており、すべてのユーザにアップデートが推奨されています。新機能は
ありませんが、次のような企業向けのバグ修正もいくつか含まれています:

●Microsoft Outlookでメールを検索できなくなる問題が解決しました。

●RPC認証レベルが高いWindowsプリントサーバへの認証が阻止される問題が
　解決しました。

●ネットワーク機能拡張で認証プロキシを使用中にWebサイトが開く問題が
　解決しました。

●ネットワーク機能拡張の接続が長時間使用した後で途切れがちになる問題が
　解決しました。

このアップデートには、以下の項目を含む少なくとも13個のセキュリティ
関連のパッチが含まれています:

iCloud

影響: アプリケーションがユーザのファイルにアクセスできる可能性がある。

説明:

シンボリックリンクのパス検証ロジックに脆弱性が存在します。この問題は、
パスのサニタイズ処理を改善することで解決されました。

Intel Graphics Driver

影響:

悪意のあるアプリケーションにカーネル権限を取得され、任意のコードを実行
される可能性がある。

説明: メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

IOMobileFrameBuffer

影響:

悪意のあるアプリケーションにカーネル権限を取得され、任意のコードを実行
される可能性がある。Appleでは、この脆弱性が悪用された可能性があると
いう報告について把握しています。

説明: 入力検証を強化し、メモリ破損の脆弱性に対処しました。

PackageKit

影響: アプリケーションが、制限されたファイルにアクセスできる可能性がある。

説明: 検証を改良し、アクセス許可の脆弱性に対処しました。

WebKit Storage

影響: Webサイトに重要なユーザ情報を追跡される可能性がある。

説明: 入力検証を強化することで、IndexDB

APIのクロスオリジンの問題に対処しました。

開発者はメモリがディスプレイを扱う方法を制御するために
IOMobileFrameBufferを使っています。Monterey12.2（および他のアップ
デート）に含まれているこのセキュリティ修正では、悪意のある者が都合の
良いシステムでカーネルレベルのコードを実行できるメモリ破損のバグが
修正されています。

WebKit

Storageのセキュリティ修正は、攻撃によりユーザのインターネットでの
行動を知るだけでなく、その個人情報を知ることができる脆弱性を修正して
います｛IntegoMac Podcastのエピソード223（https://podcast.intego.com/223）
で触れています｝:

https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/

約二ヶ月前の2021年11月下旬に報告されたこのバグが、やっと修正されたの
です。古いバージョンのSafariを使っているなら、次のWebサイトでこの
脆弱性について試験できます:

https://safarileaks.com/

Monterey 12.2に含まれているすべてのセキュリティパッチのリストは、次の
ページを参照ください:

https://support.apple.com/ja-jp/HT213054

対応するMacでmacOS Mojave以降を実行していれば、システム環境設定 >

ソフトウェアアップデートを開くとMontereyアップデートが表示されるので、
このアップデートを適用できます。対応するMacでもHigh

Sierra以前の場合は、App StoreでmacOS

Montereyを検索してダウンロードしてください。

■macOS Big Sur 11.6.3

まだマイナーアップデートがリリースされているBig

Surにも、アップデートが公開されました。このアップデートは「すべての
ユーザに推奨され、macOSのセキュリティを向上する」とされています。少
なくとも７個のセキュリティパッチが含まれており、そのほとんどがMonterey

12.2と同じです。

このアップデートには新機能が含まれていないのに、なぜセキュリティアップ
デートでなくマイナーアップデートなのかの理由はわかりません。macOS

Monterey以前、Appleは二世代前までのオペレーティングシステムのバージ
ョン番号は変えず、それらのOSに対しては別の番号が付いたセキュリティア
ップデートを公開していました。Catalinaまでそうだったのですが、Appleは
BigSurでやり方を変え、現在では一世代前のmacOSでマイナーアップデートの
バージョン番号を採用しています。

すべてのセキュリティパッチのリストは、次のページを参照ください:

https://support.apple.com/ja-jp/HT213055 アップデートはお使いのMacでシス
テム環境設定 > ソフトウェアアップデートを開けば適用できます。

■Security Update 2022-001 Catalina

このアップデートには、次のページにあるように少なくとも５個のセキュリ
ティパッチが含まれています:

https://support.apple.com/ja-jp/HT213056 そしていくつかの項目はありませ
んが、11.6.3

Big Surアップデートと同じものです。

IOMobileFrameBufferの修正は、このアップデートに含まれていません。
Catalinaには該当する脆弱性がないのか、Appleが二世代前の古いオペレー
ティングシステムだから修正しないことにしたのかまではわかりません。
このアップデートは、お使いのMacでシステム環境設定 > ソフトウェアアップ
デートを開けば適用できます。

■Safari 15.3

macOS CatalinaおよびBig Surユーザ用にダウンロードが用意されたこのアッ
プデートでは、WebKitStorageの修正であるものを含めた少なくとも４個の
脆弱性が修正されています。

簡単なリストが次のページで参照できます: https://support.apple.com/ja-jp/HT213058

このアップデートは、お使いのMacでシステム環境設定 >ソフトウェアアップ
デートを開けば適用できます。

■iOS 15.3およびiPadOS 15.3

iPhone 6s以降、iPad Pro（すべてのモデル）、iPad Air 2 以降、iPad
（第5世代以降）、iPadmini 4 以降、iPod touch（第7世代）を対象としています。

iOS

15.3は「お使いのiPhone/iPadのためのバグ修正とセキュリティアップデートが
含まれ、すべてのユーザに推奨」とされています。このアップデートでは、
IOMobileFrameBufferおよびWebKitStorageの問題を含む、少なくとも10個の
セキュリティの問題が修正されています。そのほかのパッチは、他のOSの
ものと同じです。

修正されたすべてのセキュリティの問題は、次のページで一覧できます:

https://support.apple.com/ja-jp/HT213053

この最新のiOSアップデートは、お使いの端末で設定 > 一般 >

ソフトウェア・アップデートを開いて適用できます。

■watchOS 8.4

Apple Watch Series 3以降を対象にしています。

この新しいwatchOS

8.4アップデートには「一部の充電器が期待通りに機能しないことがある問題」
の修正を含むバグの修正が含まれています。

ほとんどがiOSおよびiPadOSのアップデートと同じ少なくとも8個のセキュリ
ティパッチが含まれています。一覧は次のページで参照できます:

https://support.apple.com/ja-jp/HT213059

このアップデートを適用する場合は、まずお使いのiPhoneが最新の状態で
あり、iPhoneとウォッチが同じWi-Fiネットワークに接続していて、ウォッチの
バッテリ残量が50%以上あることを確認してください。その後、iPhoneで
Watchアプリを開いて一般 > ソフトウェアアップデートと進んでください。

■tvOS 15.3

このアップデートには、一般的な処理能力と安定性の改良が含まれています。
iOS、iPadOS、そしてwatchOSのアップデートと同じ、少なくとも9個のセキ
ュリティパッチが含まれています。

一覧は次のページで参照できます:https://support.apple.com/ja-jp/HT207936

このtvOSのアップデートは、Apple TVで設定 > システム >

ソフトウェア・アップデートを開いて直接ダウンロードできます。

■アップデートについて安易に考えてはいけません

前述したアップデートの多くは大したことのないものに見えるかもしれませ
んが、中には重大な問題の修正も含まれています。何しろ、Appleはこれらの
アップデートを素早く公開しなければなりませんでした。IOMobileFrameBufferの
脆弱性は実際に盛んに攻撃されていると考えられますし、WebKitStorageの
脆弱性については発見した組織、FingerprintJSが世界に情報公開してプレッシ
ャーをかけているので
（https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/）、
これ以上無視することもできなかったのです。

小さなアップデートのように見えても、実際には重要なアップデートです。
今すぐに適用するべきです。

使っているのがiOS、iPadOS、あるいはmacOSのいずれであっても、アップ
デートを適用する前に、必ずバックアップは作成しておく必要があります。
そうすれば、アップデートが予想外の結果になった場合でも直前の状態に
戻れます。

macOSのバックアップについては、次の記事も参照ください:

https://www.intego.com/mac-security-blog/how-to-verify-your-backups-are-working-properly/

株式会社アクト・ツー
Software Product Team