Apple は、モバイル iOS および iPadOS オペレーティング システムにパッチを公開し、新たに明らかになった 4 つの欠陥から保護するパッチを公開しました。そのうち 2 つはゼロデイ脆弱性として積極的に悪用されています。このアップデートには、セキュリティを保護するために設計された重要な新機能も含まれています。 iPhone と iPad は将来の量子サイバー攻撃から保護されます。
2 つのゼロデイは CVE-2024-23225 および CVE-2024-23296 として追跡されます。 1 つ目は、デバイス カーネルのメモリ破損の問題です。これにより、任意のカーネル読み取り/書き込み機能を取得した攻撃者は、カーネル メモリ保護をバイパスすることができます。 2 つ目は、Apple AirPod、Apple Pencil、Smart Keyboard Folio などのさまざまな Apple 周辺機器で使用されるリアルタイム オペレーティング システムである RTKit で、同様にカーネルに影響を与えます。
3 番目の脆弱性は、アプリケーションがユーザーの位置データを読み取ることができる可能性があるアクセシビリティとプライバシーの問題で、CVE-2024-23243 として追跡され、ルーマニアのブカレストにあるチューダー ヴィアヌ国立コンピューター サイエンス高等学校の Cristian Dinca 氏によるものとされています。
4 番目で最後の脆弱性と、Safari プライベート ブラウズに影響を与えるロジックの問題です。この脆弱性により、ロックされたプライベート ブラウズ機能が有効になっているときにタブ グループを切り替えるときに、ユーザーのロックされたブラウザ タブが一時的に表示される可能性があります。 これは CVE-2024-23256 として追跡されており、研究者の Om Kothawade によるものであると考えられています。
セキュリティアップデートではいつものように、Apple は修正された問題の技術的な詳細やエクスプロイトについては何も提供しませんでした。
パッチ管理のスペシャリストである Action1 の創設者兼社長のマイク・ウォルターズ氏は次のように述べています。「Apple の iOS 向け緊急アップデートには、iPhone への標的型攻撃に使用される 2 つのゼロデイ脆弱性 (明らかにスパイウェアに関連している) に対する修正が含まれています。」 ゼロデイの数 りんご’今年の実績は伸び始めており、昨年の記録20にはまだ程遠いものの、ペースは整ってきています。
「影響を受けた人々のリストは、 りんご デバイスは非常に広範囲にわたり、iPhone XS、iPhone 8、iPhone X、第 5 世代 iPad、iPad Pro 9.7 インチ、iPad Pro 12.9 インチ 第 1 世代および第 2 世代、iPad Pro 10.5 インチ、iPad Pro 11 インチ 第 1 世代が含まれます。 、iPad Air 第 3 世代、iPad 第 6 世代、iPad mini 第 5 世代以降」と彼は付け加えました。 「できるだけ早くアップデートを適用することを強くお勧めします。」
飛躍的進歩
広範な iOS 17.4 アップデートは、サイバー領域における Apple にとって重要な瞬間であり、デバイス上でのエンドツーエンドの安全なメッセージングを進歩させる新しい iMessage セキュリティ プロトコルであるポスト量子暗号プロトコルである PQ3 を提供します。
Jamf の戦略担当副社長 Michael Covington 氏は、これはこれまでに見られた iPhone セキュリティの最も「基礎的な」アップデートの 1 つであると述べています。 「次世代のハッキングツールからメッセージを保護する方法が大幅に前進します」と同氏は述べた。
「PQ3 を使用すると、Apple の iMessage サービスのユーザーは、今日送信されたデータが、将来攻撃者が利用できる量子コンピューティング能力を使用して実行される攻撃に耐えることができるという確信を持てるようになります。 この機能だけでも、ユーザーのプライバシーに対する Apple の強い取り組みと常に時代の先を行っていることの証です。」
Rapid7 最高セキュリティ責任者の Jaya Baloo 氏は次のように付け加えました。「Apple がポスト量子暗号化に PQ3 プロトコルを使用するという動きは、セキュリティにおける飛躍的な進歩であり、量子コンピュータによってもたらされる将来の脅威から通信を保護します。
「「今すぐ収穫して後で復号化する」攻撃や「レベル 3」暗号化に関する保護機能など、優れた特性が多数あり、それぞれ将来の復号化や鍵の侵害があってもデータの安全性が確保されます。 また、PQ3 のおかげでプライバシーの改善の恩恵を受ける世界中のユーザー コミュニティのおかげで、これは大きな進歩でもあります。
「iMessageを改善し、PQ3を追加することで、すべての人のセキュリティとプライバシーを向上させようというAppleの動きは、より多くの世界的な消費者企業がポスト量子の未来に向けてセキュリティとプライバシーを準備することを奨励することを期待しています」と彼女は付け加えた。
iOS 17.4 には他にも多くの機能が含まれており、その多くは欧州連合のデジタル市場法 (DMA) に準拠することを目的としています。
これらの変更には、サードパーティ開発者が Apple 独自の iOS App Store の制限なしに代替マーケットプレイスやアプリのダウンロードを利用できるようにする機能が含まれます。 Chrome や Firefox などの他の非 WebKit ベースのブラウザを使用する機能。 開発者が iPhone の既存の NFC チップを使用して、Apple Pay や Apple Wallet を使用しない非接触型決済を行えるようにするアプリケーション プログラミング インターフェイスです。
その他のグローバル機能には、Podcasts アプリケーションと Siri の新しい翻訳オプション、バッテリー寿命情報の向上、音楽認識の強化、100 を超える絵文字の追加などが含まれます。