米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月23日(現地時間)、「Apple Releases Security Updates|CISA」において、AppleがiOS 12およびmacOS Catalinaに対するセキュリティアップデートをリリースしたと伝えた。

これは複数の脆弱性を修正するためのアップデートで、放置すると攻撃者によって対象のデバイスで任意のコードを実行される危険性がある。Appleによれば、これらの脆弱性はすでに実際の攻撃に悪用されているおそれがあるという。

今回リリースされたプロダクトおよびバージョンは以下のとおり。

  • iOS 12.5.5
  • Security Update 2021-006 Catalina (macOS Catalina)

セキュリティアップデートの詳細は、Appleによる次のサポートページにまとめられている。

今回修正されたのは次の3件の脆弱性で、iOS 12は3件すべての、macOS CatalinaはCVE-2021-30869のみの影響を受ける。

  • CVE-2021-30860: CoreGraphicsにおいて、悪意を持って作成されたPDFを処理する際に任意のコードが実行される可能性がある
  • CVE-2021-30858: WebKitにおいて、悪意を持って作成されたWebコンテンツを処理する際に任意のコードが実行される可能性がある
  • CVE-2021-30869:カーネル(XNU)において、悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある

CVE-2021-30860とCVE-2021-30858はいずれも「積極的に悪用された可能性がある」、CVE-2021-30869は「この問題のエクスプロイトが実際に存在する」と報告されており、被害を防ぐには早急に対処することが望ましい。

  • About the security content of iOS 12.5.5

    About the security content of iOS 12.5.5

  • About the security content of Security Update 2021-006 Catalina

    About the security content of Security Update 2021-006 Catalina