JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は12月15日(日本時間)、「JVNVU#95288122: 複数の Apple 製品における脆弱性に対するアップデート」において、Appleが複数の製品において最新のセキュリティアップデートをリリースしたことを伝えた。このアップデートには多くの脆弱性に対する修正が含まれており、放置すれば悪意を持った攻撃者によって対象システムの制御権を奪われるなどの被害を受ける危険性がある。
今回公開された脆弱性の影響を受ける製品およびバージョンは以下のとおり。
- iOS 14.3 より前のバージョン
- iPadOS 14.3 より前のバージョン
- tvOS 14.3 より前のバージョン
- watchOS 7.2 より前のバージョン
- Safari 14.0.2 より前のバージョン
- macOS Big Sur 11.1 より前のバージョン
- macOS Catalina(Security Update 2020-001 を適用していないバージョン)
- macOS Mojave ((Security Update 2020-007 を適用していないバージョン)
- macOS Server 5.11 より前のバージョン
各セキュリティアップデートに関する詳細は、それぞれ次のページにまとめられている。
- About the security content of iOS 14.3 and iPadOS 14.3 - Apple サポート
- About the security content of iOS 12.5 - Apple サポート
- About the security content of tvOS 14.3 - Apple サポート
- About the security content of watchOS 7.2 - Apple サポート
- About the security content of watchOS 6.3 - Apple サポート
- About the security content of Safari 14.0.2 - Apple サポート
- About the security content of macOS Big Sur 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave - Apple サポート
- About the security content of macOS Server 5.11 - Apple サポート
想定される影響は脆弱性により異なるが、主に次のような攻撃に利用される恐れがあるという。JPCERT/CCは、Appleが提供するアップデート情報を確認した上で、必要に応じてアップデートを適用することを推奨している。
- 任意のコード実行
- 情報漏洩
- サービス運用妨害(DoS)
- 認証の回避
- 権限の昇格
- ヒープメモリの破損
- カーネルメモリの破損
- サンドボックスの回避
- オープンリダイレクト
- Webブラウザ上での任意のスクリプト実行