- 2021年3月28日
- 高円寺店
iOS14.4.2が配信開始 脆弱性修正へ
モバイル修理センター高円寺店です
モバイル修理センターのブログではiPhone・スマートフォンに関する情報や修理などを紹介しています。
今回はシステム関係の内容です。
iPhoneではセキュリティ向けのアップデートが行われています。アップルでは27日にiOS14.4.2およびiPadOS14.4.2の配信を開始しました。
今回のアップデートは前回の前回のiOS 14.4.1から約20日後のアップデートとなり、今回も重要なセキュリティアップデートが含まれているとして全ユーザーに推奨されています。
脆弱性の問題を修正
アップルの公式サポートドキュメントによれば、今回の更新はWebkit(iOSやiPadOS向けブラウザのレンダリングエンジン)の脆弱性を修正したとのことです。以下、アップルによる説明文になります。
『iPhone 6s以降、iPad Pro(すべてのモデル)、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch(第7世代)で利用可能
影響:悪意を持って作成された Web コンテンツを処理すると、ユニバーサルクロスサイトスクリプティングが発生する可能性があります。Appleは、この問題が積極的に悪用された可能性があるという報告を認識しています。
説明:この問題は、オブジェクトの有効期間の管理を改善することで解決されました。
CVE-2021-1879: Google脅威分析グループのクレメント・レシニーとGoogle脅威分析グループのビリー・レナード』
今回は既にiOS14から対象外の iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (第6世代)に対しても同様のプログラムのiOS 12.5.2も配信開始がされています。
ユニバーサルクロスサイトスクリプティングの発生を防ぐためか
今回ほぼ全機種に向けて配信されているのは、アップルがシステムを悪用されている可能性を懸念したことによるものになります。任意のドメイン上で任意のスクリプト実行が可能になる脆弱性のことをユニバーサルクロスサイトスクリプティングと言います。
この脆弱性を突き、攻撃者が不正に細工したURLを踏ませることで、正規サイトの認証情報を取得したり表示を改変したり、他のサイトに誘導するフィッシングなどに悪用されます。
最近でも悪質な誘導サイトやフィッシングメールなどが増えつつあります。セキュリティを強化するうえでも今回のアップデートは積極的に行うべきだと思います。