米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は6月15日(米国時間)、「Apple Releases Security Updates for iOS 12.5.4|CISA」において、Appleが提供しているiOS 12に複数の脆弱性が発見され、同社が対策版となるiOS 12.5.4をリリースしたことを伝えた。これらの脆弱性を悪用されると、攻撃者によって対象の端末で任意のコードを実行される危険性がある。

iOS 12.5.4におけるセキュリティアップデートに関する情報は、次のページにまとめられている。

  • iOS 12.5.4 のセキュリティコンテンツについて

    iOS 12.5.4 のセキュリティコンテンツについて

このアップデートには、以下の3つの脆弱性の修正が含まれている。

  • CVE-2021-30737: ASN.1デコーダーにおけるメモリ破損の脆弱性によって、悪意を持って作成された証明書を処理する際に任意のコードが実行される可能性がある
  • CVE-2021-30761: WebKitにおける不適切なステート管理の影響で、悪意を持って作成されたWebコンテンツを処理する際に任意のコードを実行される可能性がある
  • CVE-2021-30762: WebKitにおける解放済みメモリ使用(Use After Free)の脆弱性によって、悪意を持って作成されたWebコンテンツを処理際に任意のコードを実行される可能性がある

Appleによると、上記のうちCVE-2021-30761とCVE-2021-30762については、すでに実際に攻撃に悪用されたという報告を受けているとのことで、早急なアップデートが推奨される。

以下のiOS 13/iPadOS 13以降のバージョンに対応していない端末が、今回のアップデートの対象となっている。これ以外の端末については、すでにiOS 12のサポート自体が終了している。

  • iPhone 5s
  • iPhone 6
  • iPhone 6 Plus
  • iPad Air
  • iPad mini 2
  • iPad mini 3
  • iPod touch (第6世代)