Apple、macOS Catalinaの更新配信 iOS 13.5などのセキュリティ詳細も公開

2020年5月28日 17:38

小

中

大

印刷

 Appleは5月26日(現地時間)、macOS Catalina用のセキュリティアップデート10.15.5、およびMojave、Hi Sierra用のセキュリティアップデートを配信開始した。また同時に、20日(現地時間)に配信開始していたiOSおよびiPadOS 13.5に関するセキュリティ詳細を公開した。

【こちらも】Apple、iPhone SE(第2世代)用のiOS 13.4.1をリリース

■macOS Catalina 10.15.5アップデートの詳細

 本バージョンでは、機能向上関係で3件、バグ修正で8件、および45件におよぶ脆弱性に関する修正が含まれている。

●機能向上について

 ・Macノートブックのバッテリーをより細やかに管理することができる機能
 ・FaceTimeで参加者の発言によって、タイル表示のサイズが自動的に変わってしまわないようコントロールする機能

 など3件が追加された。

●バグ修正について

 ログイン画面でパスワードを入力しても反応しないバグ、リマインダーで繰り返しのリマインドが送信されないバグ、RAIDで大容量ファイルを転送する際のバグなど8件に対応した。

●セキュリティ修正について

 今回は、45件とかなり多くの脆弱性に対応している。とくにカーネル関係は8件、Wi-Fi関係が5件と多く、Sandbox関連のものが3件(うちアカウントに分類されるものでSandboxに関連するものを含む)と続く。

 このうちユーザー視点で気になるものは、オーディオやフォントパーサー、Image IOなどで、悪意を持って作られたファイル(オーディオファイルやPDF、画像など)を読み込んだ場合に、任意のコードを実行されてしまう可能性があるというもの(CVE-2020-9815、CVE-2020-9791、CVE-2020-3878など)と、カレンダーにおいて悪意を持って作られた招待状をインポートしたときに、ユーザーの個人情報が漏れてしまう可能性があるというもの(CVE-2020-3882)など。

 なお、セキュリティ修正については、Catalina以前のHi Sierra 10.13.6とMojave 10.14.6にも対応する脆弱性への対応パッチが公開されている。

■iOS 13.5およびiPadOS 13.5のセキュリティ詳細について

 iOS 13.5は5月20日(現地時間)にすでに配信が開始されており、マスク着用時にFaceIDから簡単な操作でパスコードの入力画面に変更できる機能や接触通知など、新型コロナウイルス対応の機能を中心にいくつかのバグ修正などがリリースノートで公開されている。

 本記事では26日に公開されたセキュリティ関連の詳細についてをお伝えする。

 今回のアップデートにおけるセキュリティ関連の修正は39件と多めになっている。内訳ではカーネルが8件、WebKitが7件と多くを占め、オーディオ、ImageIO、Bluetooth、メールなどが各2件と続いている。

 このうち、ユーザーサイドにおいては、

 ・WebKit関連で悪意を持って作られたWebコンテンツを処理すると、任意のコードを実行されてしまう可能性に関する脆弱性(CVE-2020-9843、CVE-2020-9803など)

 ・サンドボックスにおいて、悪意のあるアプリケーションがプライバシー設定を回避してしまう可能性がある脆弱性(CVE-2020-9825)

 ・オーディオ・フォントパーサー・ImageIOにおいて、悪意を持って作られたファイル(オーディオファイル、PDF、画像など)を処理すると任意のコードが実行されてしまう可能性がある脆弱性(CVE-2020-9815、CVE-2020-9816、CVE-2020-3878など)

 ・アカウントやAirDropなどで悪意のある攻撃者が、DoS(サービス不能攻撃)を起こす可能性がある脆弱性(CVE-2020-9827。CVE-2020-9826)

 などへの対応がとくに気になる点である。

 なお、iOS 13.5の対応機種はiPhone 6s以降、iPad Air 2以降、iPad mini 4以降、iPod touch第7世代となっている。また同時に、iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch (第 6 世代)に対応するiOS 12.4.7もリリースされている。

 5月のアップデートは、macOS、iOSともに非常に多くのセキュリティ関連のアップデートを含んでいるほか、とくにiOS関連では新型コロナウイルスの世界への影響を鑑みた修正、機能追加などが含まれている。リリース後1週間を経て、とくに重大な不具合の報告もないため、できるだけ早めのアップデートを心がけるようにしたい。(記事:kurishobo・記事一覧を見る

関連キーワード脆弱性iOSAppleiPhone 6iPhone 6sセキュリティiPhoneiPadMacDoS攻撃iOS 12iOS 13新型コロナウイルス

広告