iPhone Security

アップルは14日未明、最新システムソフトウェアiOS 14.8およびiPadOS 14.8を配信開始しました。前回のiOS/iPadOS 14.7.1から約1ヶ月半ぶりのマイナーアップデートとなります。

届いていれば通知から、あるいは「設定-一般 - ソフトウェア・アップデート」から確認して手動でアップデートできます。

公式リリースいわく、今回のアップデートには「重要なセキュリティアップデート」が含まれており、すべてのユーザーに適用が推奨されています。特に新機能の追加はありません。

公式セキュリティ文書によれば「重要なセキュリティアップデート」は2つ。すなわちCoreGraphicsフレームワークとWebKitブラウザエンジンに関するものであり、どちらも攻撃者が任意のコードを実行できてしまう脆弱性とのこと。いずれも積極的に悪用された可能性があると述べられています。

さらにThe New York Times報道によれば、今回のiOS 14.8はアップルのエンジニアが24時間体制で修正に取り組んできた重要な脆弱性に対処しているとのことです。

そのうちWebkit関連は、トロント大学のThe Citizen Labが発見してアップルに報告していたもの。この「FORCEDENTRY」と名付けられた脆弱性はiPhoneやiPad、Apple WatchやMacにスパイウェア「Pegasus」を感染させ、カメラやマイクロフォンのほか、テキストメッセージや通話、電子メールへのアクセスも可能にするというものです。

ここでいう「Pegasus」は、イスラエル企業NSOグループが開発して世界各国の政府や様々な団体に売り込んでいることが知られています。数年前から悪用されていた形跡があり、今年7月にも世界中の人権活動家や弁護士、ジャーナリストを標的に使用されていたとの報告がありました

アップルはThe New York Timesに対し、今後同様の攻撃を防ぐために、次期iOS 15のソフトウェア・アップデートにはスパイウェア・バリアを追加する予定であると述べています。

iOS/iPadOS 14.8と同時に、watchOS 7.6.2やmacOS Big Sur 11.6も配信開始されています。いずれも同様のセキュリティアップデートが含まれており、Apple WatchやMacユーザーも速やかなアップデートが推奨されます。

Source:Apple