Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
iOS 16.7.6 および iPadOS 16.7.6
2024 年 3 月 7 日リリース
Accessibility
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリがシステムの通知や UI を偽装できる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2024-23262:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes)
2024 年 3 月 7 日に追加
CoreCrypto
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できてしまう場合があある。
説明:暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。
CVE-2024-23218:Clemens Lang 氏
2024 年 3 月 7 日に追加
ImageIO
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:画像を処理すると、任意のコードが実行される可能性がある。
説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。
CVE-2024-23286:Dohyun Lee 氏 (@l33d0hyun)
2024 年 3 月 7 日に追加
ImageIO
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-23257:Trend Micro Zero Day Initiative に協力する Junsung Lee 氏
2024 年 3 月 7 日に追加
Kernel
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23225
Kernel
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2024-23235
2024 年 3 月 7 日に追加
Kernel
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23265:Pangu Lab の Xinru Chi 氏
2024 年 3 月 7 日に追加
libxpc
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-23278:匿名の研究者
2024 年 3 月 7 日に追加
MediaRemote
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:機微な情報の墨消しを改善することで、この問題に対処しました。
CVE-2023-28826:NorthSea の Meng Zhang (鲸落) 氏
2024 年 3 月 7 日に追加
Metal
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。
説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。
CVE-2024-23264:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm)
2024 年 3 月 7 日に追加
Notes
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-23283
2024 年 3 月 7 日に追加
Safari
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:Web コンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-23259:Lyra Rebane 氏 (rebane2001)
2024 年 3 月 7 日に追加
Share Sheet
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-23231:Kirin 氏 (@Pwnrin) および luckyu 氏 (@uuulucky)
2024 年 3 月 7 日に追加
Shortcuts
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:ショートカットが特定のアクションで、ユーザに確認することなく機微なユーザデータを使用できる可能性がある。
説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。
CVE-2024-23204:Jubaer Alnazi 氏 (@h33tjubaer)
CVE-2024-23203:匿名の研究者
2024 年 3 月 7 日に追加
Siri
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:デバイスに物理的にアクセスできる人物が、Siri を使って、プライベートなカレンダー情報にアクセスできる可能性がある。
説明:ステート管理を改善し、ロック画面の脆弱性に対処しました。
CVE-2024-23289:Lewis Hardy 氏
2024 年 3 月 7 日に追加
UIKit
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-23246:Deutsche Telekom Security GmbH (Bundesamt für Sicherheit in der Informationstechnik 出資)
2024 年 3 月 7 日に追加
WebKit
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
WebKit Bugzilla:267241
CVE-2024-23284:Georg Felber 氏および Marco Squarcina 氏
2024 年 3 月 7 日に追加
WebKit
対象:iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 世代)、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ (第 1 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:検証を強化し、ロジックの脆弱性に対処しました。
WebKit Bugzilla:264811
CVE-2024-23263:Johan Carlsson 氏 (joaxcar)
2024 年 3 月 7 日に追加