 |
| AppleがiPhoneやiPadなど向けiOS 16.7.2とiPadOS 16.7.2をリリース! |
Appleは25日(現地時間)、iPhoneおよびiPod touch向けプラットフォーム「iOS」とiPad向けプラットフォーム「iPadOS」において前バージョン「iOS 16」や「iPadOS 16」の最新版「iOS 16.7.2(20H115)」および「iPadOS 16.7.2(20H115)」を提供開始したとお知らせしています。
対象機種はiOS 16やiPadOS 16の対応機種でiPhone 8以降およびiPhone SE(第2世代)以降、iPad(第5世代以降)、iPad Air(第3世代以降)、iPad mini(第5世代以降)、iPad Pro(全モデル)の各製品にて無料で更新可能となっており、これらを利用しているすべての人が更新することを推奨しています。
なお、次の最新バージョン「iOS 17」や「iPadOS 17」も提供開始されているため、iOS 17やiPadOS 17の対象機種はiOS 17.1およびiPadOS 17.1またはiOS 16.7.2およびiPadOS 16.7.2を選んで更新できる一方、iOS 17の対象機種ではないiPhone XやiPhone 8、iPhone 8 Plus、iPad(第5世代)、12.9インチiPad Pro(第1世代)、9.7インチiPad ProはiOS 16.7.2やiPadOS 16.7.2が最新バージョンとなります。
変更点は重要なセキュリティーアップデートが含まれているとしており、iOS 17.1やiPadOS 17.1にも含まれている脆弱性も含まれているものの、CVEに登録されている脆弱性としてはiOS 17.1およびiPadOS 17.1では21個が修正されていますが、iOS 16.7.2およびiPadOS 16.7.2では17個となっています。また同社ではこのうちのいくつかの脆弱性が積極的に悪用された可能性があるという報告を認識していると説明しています。
その他、すでに紹介しているように同時にiOSおよびiPadOSは最新バージョンのiOS 17.1およびiPadOS 17.1がリリースされているほか、さらに古いiPhoneやiPad向けにセキュリティーアップデートを行う「iOS 15.8」および「iPadOS 15.8」、スマートウォッチ「Apple Watch」向け「watchOS 10.1」、パソコン「Mac」向け「macOS 14.1 Sonoma」、スマートテレビ「Apple TV」向け「tvOS 17.1」なども配信開始しています。
Appleでは2021年に提供開始したiOS 15およびiPadOS 15から一定期間は次の最新バージョンに更新せずに既存のバージョンに留まる機能を提供しており、今年も最新のiOS 17やiPadOS 17が配信開始されましたが、引き続いてしばらくiOS 16やiPadOS 16で使う場合を対象にセキュリティー修正のみを行ったiOS 16.7.2およびiPadOS 16.7.2を提供開始しました。
iOS 17やiPadOS 17の対象機種の場合には「設定」→「情報」→「ソフトウェア・アップデート」を表示すると、画面の下部に「その他の利用可能なアップデート」として「iOS 17にアップグレード」または「iPadOS 17にアップグレード」が表示されるのでそこからiOS 17やiPadOS 17に更新できるほか、iOS 17やiPadOS 17にアップグレードを選ばない場合にはiOS 16.7.2やiPadOS 16.7.2の更新画面で「ダウンロードしてインストール」を押せばiOS 16.7.2やiPadOS 16.7.2に更新されます。
またこれらのiOS 16.7.2およびiPadOS 16.7.2はiOS 17やiPadOS 17に対応しない製品では今後も最新バージョンとなり、これまでのAppleの動きからするとしばらくはiOS 16やiPadOS 16へのセキュリティー修正が継続して提供されると思われます。なお、単体でアップデートする場合のダウンロードサイズは手持ちのiPhone XではiOS 16.7.1からなら457.8MBとなっています。更新は従来通りにiTunesをインストールしたWindowsおよびMacとUSB-Lightningケーブルで接続しても実施できます。Appleが案内しているアップデートの内容およびセキュリティー修正は以下の通り。
iOS 16.7.2
このアップデートには重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます。Appleソフトウェアアップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください: https://support.apple.com/ja-jp/HT201222
iPadOS 16.7.2
このアップデートには重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます。Appleソフトウェアアップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください: https://support.apple.com/ja-jp/HT201222
iOS 16.7.2 and iPadOS 16.7.2
Released October 25, 2023– CoreAnimation
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An app may be able to cause a denial-of-service
Description: The issue was addressed with improved memory handling.
CVE-2023-40449: Tomi Tokics (@tomitokics) of iTomsn0w– Find My
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An app may be able to read sensitive location information
Description: The issue was addressed with improved handling of caches.
CVE-2023-40413: Adam M.– ImageIO
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Processing an image may result in disclosure of process memory
Description: The issue was addressed with improved memory handling.
CVE-2023-40416: JZ– IOTextEncryptionFamily
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An app may be able to execute arbitrary code with kernel privileges
Description: The issue was addressed with improved memory handling.
CVE-2023-40423: an anonymous researcher– Kernel
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An attacker that has already achieved kernel code execution may be able to bypass kernel memory mitigations
Description: The issue was addressed with improved memory handling.
CVE-2023-42849: Linus Henze of Pinauten GmbH (pinauten.de)– Mail Drafts
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Hide My Email may be deactivated unexpectedly
Description: An inconsistent user interface issue was addressed with improved state management.
CVE-2023-40408: Grzegorz Riegel– mDNSResponder
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: A device may be passively tracked by its Wi-Fi MAC address
Description: This issue was addressed by removing the vulnerable code.
CVE-2023-42846: Talal Haj Bakry and Tommy Mysk of Mysk Inc. @mysk_co– Pro Res
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An app may be able to execute arbitrary code with kernel privileges
Description: The issue was addressed with improved memory handling.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu and Guang Gong of 360 Vulnerability Research Institute– Safari
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Visiting a malicious website may reveal browsing history
Description: The issue was addressed with improved handling of caches.
CVE-2023-41977: Alex Renda– Siri
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An attacker with physical access may be able to use Siri to access sensitive user data
Description: This issue was addressed by restricting options offered on a locked device.
CVE-2023-41997: Bistrit Dahla
CVE-2023-41982: Bistrit Dahla– Weather
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An app may be able to access sensitive user data
Description: A privacy issue was addressed with improved private data redaction for log entries.
CVE-2023-41254: Cristian Dinca of “Tudor Vianu” National High School of Computer Science, Romania– WebKit
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: A user’s password may be read aloud by VoiceOver
Description: This issue was addressed with improved redaction of sensitive information.
WebKit Bugzilla: 248717 CVE-2023-32359: Claire Houston– WebKit
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Processing web content may lead to arbitrary code execution
Description: The issue was addressed with improved memory handling.
WebKit Bugzilla: 259836 CVE-2023-40447: 이준성(Junsung Lee) of Cross Republic– WebKit
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Processing web content may lead to arbitrary code execution
Description: A logic issue was addressed with improved checks.
WebKit Bugzilla: 260173 CVE-2023-42852: an anonymous researcher– WebKit
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Processing web content may lead to arbitrary code execution
Description: A use-after-free issue was addressed with improved memory management.
WebKit Bugzilla: 259890 CVE-2023-41976: 이준성(Junsung Lee)– WebKit Process Model
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Processing web content may lead to a denial-of-service
Description: The issue was addressed with improved memory handling.
WebKit Bugzilla: 260757 CVE-2023-41983: 이준성(Junsung Lee)Additional recognition
– libxml2
We would like to acknowledge OSS-Fuzz, Ned Williamson of Google Project Zero for their assistance.– libarchive
We would like to acknowledge Bahaa Naamneh for their assistance.– WebKit
We would like to acknowledge an anonymous researcher for their assistance.
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・iOS 16 関連記事一覧 – S-MAX
・iPadOS 16 関連記事一覧 – S-MAX
・iOS 16 のアップデートについて – Apple サポート (日本)
・iPadOS 16 のアップデートについて – Apple サポート (日本)
・iOS 16.7.2 および iPadOS 16.7.2 のセキュリティコンテンツについて – Apple サポート (日本)
・Apple セキュリティアップデート – Apple サポート
(引用元:livedoor news)
