先日、AppleはiPhone(iOS 16.3.1)、iPad(iPadOS 16.3.1)、Mac(macOS 13.2.1)の新しいソフトウェアアップデートをリリースしました。

Appleは、特にiOSやiPadOSで新しいアップデートがあった時に通知をしないので、ソフトウェアのニュースを常にチェックしていない限り、これらのアップデートに気づいていないかもしれません。

しかし、今回のアップデートは非常に重要なので、できるだけ早くインストールしたほうが良さそうです。

今回のアップデートにはユーザーがワクワクするような新機能がありません。少なくともAppleは新機能について何も言及していないようです。11の新機能を搭載したiOS 16.2や、便利な変更がいくつかあったiOS 16.3とは違います。

しかし、今回のアップデートのセキュリティパッチは、Appleがこれまで投入してきた新機能よりも重要なので、iOS/iPadOS 16.3.1とmacOS 13.2.1には必ず更新してください。

極めて重要なセキュリティパッチが含まれるアップデート

iOS 16.3.1とmacOS 13.2.1は、ハッカーがユーザーを攻撃するのに悪用するゼロデイ脆弱性に対応するためにリリースされました。

このゼロデイ脆弱性は、WebKitの脆弱性が発端となっており、ユーザーが悪意あるリンクをクリックすると、悪質な業者が任意のコードを実行できるというもの。

つまり、ユーザーが悪意あるリンクをクリックすると、ハッカーはユーザーのiPhoneやiPadやMacで、何でも好きなコードを実行できるのです。

またAppleは、このゼロデイに対するパッチに加え、悪質な業者がカーネル権限で任意のコードを実行できるようにする同様の問題や、macOSの「ショートカット」アプリのセキュリティ欠陥にもパッチをしています。

Appleによると、カーネルとWebKitの欠陥は、iPhone 8以降、iPad Pro(全モデル)、第3世代以降のiPad Air、第5世代以降のiPad、第5世代以降のiPad mini、macOS Venturaを搭載したMacに影響があるそうです。

「ショートカット」アプリの欠陥は、macOS Venturaを搭載したMacに影響があります。

カーネル

  • 影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
  • 説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処。
  • CVE-2023-23514:Pangu LabのXinru Chi氏、Google Project ZeroのNed Williamson氏

WebKit

  • 影響:悪意を持って作成されたウェブコンテンツを処理すると、任意のコードを実行される可能性がある。Appleは、この脆弱性が悪用された可能性があるという報告について把握している。
  • 説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処。
  • WebKit Bugzilla:251944
  • CVE-2023-23529:匿名の研究者

ショートカット

  • 影響:アプリが保護されていないユーザーデータを観察できる可能性がある。
  • 説明:一時ファイルの処理を改善することで、プライバシーの問題に対処。
  • CVE-2023-23522:Alibaba GroupのWenchao Li氏およびXiaolong Bai氏

バグの修正

今回のアップデートは、Appleのデバイスのバグにもパッチをします。iOS 16.3.1とiPadOS 16.3.1のリリースノートによると、該当するiPhoneとiPadで以下のバグが修正されるようです。

  • iCloudがアプリで使用されていると、iCloud設定が応答しない、または間違って表示される問題がある問題。
  • Siriからの「探す」リクエストが機能しない場合がある問題。
  • iPhone 14とiPhone 14 Proのモデルでの衝突事故検出の最適化。

AppleはmacOS 13.2.1のリリースノートを発行していないので、最新のアップデートでどのようなバグが修正されるかはわかりません(バグがある場合)。今回のアップデートがセキュリティパッチだけの可能性もあります(それはそれでいいですが)。

iPhone、iPad、Macでアップデートする方法

iPhoneやiPadでアップデートするには、「設定」>「一般」>「ソフトウェアアップデート」に行き、画面の指示にしたがって16.3.1をダウンロードし、インストールしてください。

Macでアップデートするには、「システム設定」>「ソフトウェアアップデート」に行き、画面の指示にしたがって13.2.1をダウンロードし、インストールしてください。

自動アップデートを設定している場合、デバイスが勝手にアップデートしてくれるはずですが、この機能はアップデートに時間がかかる場合があります。なる早でアップデートするには、手動でのアップデートがおすすめです。

iPhone・Androidを「強制再起動」させるボタンの押し方 | ライフハッカー・ジャパン

iPhone・Androidを「強制再起動」させるボタンの押し方 | ライフハッカー・ジャパン

macOSブラウザ頂上決戦。Google Chrome vs. Safari、セキュリティ面で優秀なのは? | ライフハッカー・ジャパン

macOSブラウザ頂上決戦。Google Chrome vs. Safari、セキュリティ面で優秀なのは? | ライフハッカー・ジャパン

古いiPhoneはいつまで安全なのか?セキュリティリスクになるタイミングを解説 | ライフハッカー・ジャパン

古いiPhoneはいつまで安全なのか?セキュリティリスクになるタイミングを解説 | ライフハッカー・ジャパン

Source: BLEEPING COMPUTER