Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
iOS 15.7.1 および iPadOS 15.7.1
2022 年 10 月 27 日リリース
Apple Neural Engine
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:App がカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32932:Mohamed Ghannam 氏 (@_simo36)
Audio
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:悪意を持って作成されたオーディオファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-42798:Trend Micro Zero Day Initiative に協力する匿名者
Backup
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:App が iOS バックアップにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2022-32929:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
FaceTime
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:制限されたコンテンツをロック画面からユーザが閲覧できる可能性がある。
説明:ステート管理を改善し、ロック画面の脆弱性に対処しました。
CVE-2022-32935:Bistrit Dahal 氏
Graphics Driver
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:App がカーネル権限で任意のコードを実行できる可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2022-32939:テキサス大学オースティン校の Willy R. Vasquez 氏
Image Processing
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:App がカーネル権限で任意のコードを実行できる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32949:清華大学 (Tsinghua University) の Tingting Yin 氏
Kernel
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:App がカーネル権限で任意のコードを実行できる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2022-32944:Moveworks.ai の Tim Michaud 氏 (@TimGMichaud)
Kernel
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:App がカーネル権限で任意のコードを実行できる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2022-42803:Pangu Lab の Xinru Chi 氏、John Aakerblom 氏 (@jaakerblom)
Kernel
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:ルート権限を持つ App が、カーネル権限で任意のコードを実行できる可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2022-32926:Moveworks.ai の Tim Michaud 氏 (@TimGMichaud)
Kernel
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告について把握しています。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2022-42827:匿名の研究者
Kernel
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:App がカーネル権限で任意のコードを実行できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-42801:Google Project Zero の Ian Beer 氏
Model I/O
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:悪意を持って作成された USD ファイルを処理すると、メモリのコンテンツが漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-42810:Ant Security Light-Year Lab の Xingwei Lin 氏 (@xwlin_roy) および Yinyi Wu 氏
ppp
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:バッファオーバーフローが原因で任意のコードが実行される可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2022-32941:匿名の研究者
Safari
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:悪意を持って作成された Web サイトにアクセスすると、重要なデータが漏洩する可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-42817:Mir Masood Ali 氏 (イリノイ大学シカゴ校の博士課程学生)、Binoy Chitale 氏 (ストーニーブルック大学の理学修士)、Mohammad Ghasemisharif 氏 (イリノイ大学シカゴ校の博士候補生)、Chris Kanich (イリノイ大学シカゴ校の准教授)
WebKit
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、App の内部の状態情報が漏洩する可能性がある。
説明:チェックを改善して、JIT の精度の問題に対処しました。
WebKit Bugzilla:242964
CVE-2022-32923:KAIST Hacking Lab の Wonyoung Jung 氏 (@nonetype_pwn)
Wi-Fi
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:悪意のある Wi-Fi ネットワークに接続すると、設定 App がサービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32927:Hideaki Goto (東北大学博士)
zlib
対象となるデバイス:iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad (第 5 世代以降)、iPad mini 4 以降、iPod touch (第 7 世代)
影響:ユーザによって App が突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-37434:Evgeny Legerov 氏
CVE-2022-42800:Evgeny Legerov 氏