Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
iOS 16.7 および iPadOS 16.7
2023 年 9 月 21 日リリース
App Store
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:リモートの攻撃者が Web コンテンツのサンドボックスを回避できる可能性がある
説明:プロトコルの処理を改善することで、この問題に対処しました。
CVE-2023-40448:w0wbox 氏
2023 年 9 月 26 日に追加
Ask to Buy
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2023-38612:Chris Ross 氏 (Zoom)
2023 年 12 月 22 日に追加
Biometric Authentication
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2023-41232:PixiePoint Security の Liang Wei 氏
2023 年 9 月 26 日に追加
CoreAnimation
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:Web コンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2023-40420:Cross Republic の 이준성 (Junsung Lee) 氏
2023 年 9 月 26 日に追加
Core Image
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリが、一時的なディレクトリに保存された編集済みの写真にアクセスできる可能性がある。
説明:一時ファイルの処理を改善することで、問題に対処しました。
CVE-2023-40438:SecuRing の Wojciech Regula 氏 (wojciechregula.blog)
2023 年 12 月 22 日に追加
Game Center
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリが連絡先にアクセスできる可能性がある。
説明:キャッシュの処理を改善することで、この問題に対処しました。
CVE-2023-40395:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
2023 年 9 月 26 日に追加
Kernel
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2023-41984:STAR Labs SG Pte. Ltd. の Pan ZhenPeng 氏 (@Peterpan0927)
2023 年 9 月 26 日に追加
Kernel
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:カーネルコードの実行をやり遂げた攻撃者が、カーネルメモリの軽減策を回避できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2023-41981:Pinauten GmbH (pinauten.de) の Linus Henze 氏
2023 年 9 月 26 日に追加
Kernel
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:ローカルの攻撃者が権限を昇格できる場合がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:チェックを強化することで、この問題に対処しました。
CVE-2023-41992:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏
libxpc
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2023-41073:Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09)
2023 年 9 月 26 日に追加
libxpc
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリが、権限を持っていないファイルを削除できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2023-40454:Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09)
2023 年 9 月 26 日に追加
libxslt
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:Web コンテンツを処理すると、機微情報が漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2023-40403:PK Security の Dohyun Lee 氏 (@l33d0hyun)
2023 年 9 月 26 日に追加
MobileStorageMounter
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:ユーザが権限を昇格できる場合がある。
説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。
CVE-2023-41068:Mickey Jin 氏 (@patch1t)
2023 年 9 月 26 日に追加
Passkeys
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:攻撃者が認証なしでパスキーにアクセスできる可能性がある。
説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。
CVE-2023-40401:weize she 氏、匿名の研究者
2023 年 12 月 22 日に追加
Pro Res
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2023-41063:Certik Skyfall Team
2023 年 9 月 26 日に追加
Safari
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリが、ユーザがインストール済みのほかのアプリを特定できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2023-35990:Sentry Cybersecurity の Adriatik Raci 氏
2023 年 9 月 26 日に追加
Security
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:悪意のあるアプリが、署名の検証を回避できる可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:証明書の検証の脆弱性に対処しました。
CVE-2023-41991:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏
Share Sheet
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:アプリが、ユーザがリンクを共有したときに記録された重要なユーザ情報にアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2023-41070:Kirin 氏 (@Pwnrin)
2023 年 9 月 26 日に追加
WebKit
対象:iPhone 8 以降、iPad Pro (すべてのモデル)、iPad Air (第 3 世代) 以降、iPad (第 5 世代) 以降、iPad mini (第 5 世代) 以降
影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:261544
CVE-2023-41993:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏
ご協力いただいたその他の方々
Apple Neural Engine
Ant Security Light-Year Lab の pattern-f 氏 (@pattern_F_) のご協力に感謝いたします。
2023 年 12 月 22 日に追加
AppSandbox
Kirin 氏 (@Pwnrin) のご協力に感謝いたします。
2023 年 9 月 26 日に追加
libxml2
OSS-Fuzz、Google Project Zero の Ned Williamson 氏のご協力に感謝いたします。
2023 年 9 月 26 日に追加
Kernel
The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏のご協力に感謝いたします。
WebKit
Khiem Tran 氏、プネー市 (インド) の Suma Soft Pvt. Ltd の Narendra Bhati 氏のご協力に感謝いたします。
2023 年 9 月 26 日に追加
WebRTC
匿名の研究者のご協力に感謝いたします。
2023 年 9 月 26 日に追加