iOS 16.7.8 および iPadOS 16.7.8 のセキュリティコンテンツについて
iOS 16.7.8 および iPadOS 16.7.8 のセキュリティコンテンツについて説明します。
Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
iOS 16.7.8 および iPadOS 16.7.8
2024 年 5 月 13 日リリース
Core Data
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:環境変数の検証を改善することで、この問題に対処しました。
CVE-2024-27805:Kirin 氏 (@Pwnrin) および小来来氏 (@Smi1eSEC)
2024 年 6 月 10 日に追加
CoreMedia
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-27817:Ant Security Light-Year Lab の pattern-f 氏 (@pattern_F_)
2024 年 6 月 10 日に追加
CoreMedia
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2024-27831:CrowdStrike Counter Adversary Operations の Amir Bazine 氏および Karsten König 氏
2024 年 6 月 10 日に追加
Foundation
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-27789:Mickey Jin 氏 (@patch1t)
IOHIDFamily
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:権限のないアプリがセキュア入力モードを使用しているアプリを含むほかのアプリのキー操作をログできる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2024-27799:匿名の研究者
2024 年 6 月 10 日に追加
Kernel
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:ユーザによってアプリが突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27818:Ant Security Light-Year Lab の pattern-f 氏 (@pattern_F_)
2024 年 6 月 10 日に追加
Kernel
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:カーネルコードの実行をやり遂げた攻撃者が、カーネルメモリ保護を回避できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27840:匿名の研究者
2024 年 6 月 10 日に追加
Kernel
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:ネットワーク上で特権的な地位を悪用した攻撃者により、ネットワークパケットを偽装される可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2024-27823:Bar-Ilan University の Benny Pinkas 教授 (Prof.)、Hebrew University の Amit Klein 教授 (Prof.) および EP
2024 年 7 月 29 日に追加
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:物理的なアクセスが可能な攻撃者が、メールアカウントの認証情報を漏洩させる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2024-23251:Gil Pedersen 氏
2024 年 6 月 10 日に追加
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:悪意を持って作成されたメールが、ユーザ認証なしで FaceTime 通話を開始できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-23282:Dohyun Lee 氏 (@l33d0hyun)
2024 年 6 月 10 日に追加
Messages
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:悪意を持って作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-27800:Daniel Zajork 氏および Joshua Zajork 氏
2024 年 6 月 10 日に追加
Metal
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:悪意を持って作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2024-27802:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm)
2024 年 6 月 10 日に追加
RTKit
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23296
Shortcuts
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:ショートカットが特定のアクションで、ユーザに確認することなく機微なユーザデータを使用できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-27855:匿名の研究者
2024 年 6 月 10 日に追加
Spotlight
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:この問題は、環境のサニタイズ処理を改善することで解決されました。
CVE-2024-27806
2024 年 6 月 10 日に追加
Symptom Framework
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリがアプリプライバシーレポートのログ記録を回避できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-27807:Romy R. 氏
2024 年 6 月 10 日に追加
Sync Services
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2024-27847:Mickey Jin 氏 (@patch1t)
2024 年 6 月 10 日に追加
Voice Control
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:ユーザが権限を昇格できる場合がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-27796:ajajfxhj 氏
2024 年 6 月 10 日に追加
WebKit
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:悪意を持って作成された Web ページが、ユーザを一意に識別するデータを作成できる場合がある。
説明:追加ロジックを追加することで、この問題に対処しました。
WebKit Bugzilla:262337
CVE-2024-27838:Mozilla の Emilio Cobos 氏
2024 年 6 月 10 日に追加
WebKit
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
WebKit Bugzilla:271491
CVE-2024-27833:Trend Micro Zero Day Initiative に協力する Manfred Paul 氏 (@_manfp)
2024 年 6 月 10 日に追加
WebKit
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:任意の読み取りおよび書き込み権限を持つ悪意のある攻撃者が、ポインタ認証を回避できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:272750
CVE-2024-27834:Trend Micro の Zero Day Initiative に協力する Manfred Paul 氏 (@_manfp)
2024 年 6 月 10 日に追加
WebKit Web Inspector
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:270139
CVE-2024-27820:underpassapp.com の Jeff Johnson 氏
2024 年 6 月 10 日に追加
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。