昨日、Appleはソフトウェア製品ライン全体にわたるアップデートのリリースで忙しい一日を過ごしました。特にmacOSとiOSのアップデートが目立ちましたが、Appleは すべてのソフトウェアに大量のセキュリティ修正を詰め込みました。既知の脆弱性は合計で約350件に上り、Appleはすべてのソフトウェアのセキュリティ強化に取り組んでいます。
iOS 10.3以降のAppleの最新バージョンには、「AirPodsを探す」、Appleの新しいファイルシステム、CarPlay、その他いくつかの小さな外観の調整が含まれています。Appleが行うほぼすべてのアップデートには、ユーザーが気づかないうちにセキュリティ修正も含まれています。iOS 10.3も例外ではなく、85を超える共通脆弱性識別子(CVE)がリストされています。
例えば、iOS 10.3では、攻撃者がSafariに「ページを開けません」というダイアログをスパム送信できるセキュリティホールが修正されています。サイバーセキュリティ企業のLookoutは、あるユーザーからブラウジング体験を制御できなくなったという苦情を受けた後、この攻撃を知りました。このダイアログは、ユーザーを騙してSafariブラウザの「ロック解除」のために最終的に金銭を支払わせることを目的としていました。
iOSとmacOSの両方に配信されたもう1つのアップデートは、一見安全なサーバーに接続しても実際にはリモートコード実行の脅威となる脆弱性の修正です。脅威インテリジェンス組織のTalosは、CVE-2017-2485の詳細を公開しました。発見された脆弱性は、SafariブラウザがHTTPSサイトにアクセスすると、macOSとiOSが無効で悪意のある証明書を検証し、ユーザーが攻撃にさらされる可能性があることを示していました。Talosは、この脆弱性がChromeにも存在することを明らかにしました。
これらの脆弱性が発見され、最終的に修正されたとしても、実際に悪用されたという証拠を追跡するのは困難、あるいは不可能であることを理解することが重要です。Lookoutのように、企業が発見の詳細を公開すれば、現実世界のシナリオをより深く理解するのに役立ちます。
ここ数週間だけでも、WikiLeaksはCIAがiOSおよびMacデバイスで使用した過去のエクスプロイトに関する報告書を公開しています。これらの報告書は古く、公開されたエクスプロイトも時代遅れでしたが、Appleが今週だけでリリースした修正プログラムの膨大な数を見れば、依然として多くの脆弱性が存在していることがわかります。
サイバーセキュリティが最優先される世界では、デバイスのバックアップとセキュリティ確保を忘れないようにしてください。
昨日のアップデートで修正された Apple の CVE の完全なリストは、同社のセキュリティ アップデート ページでご覧いただけます。
candode.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
