Appleは3月11日(現地時間)、古いiPhoneやiPad向けにiOS 16.7.15/iOS 15.8.7/iPadOS 16.7.15/iPadOS 15.8.7をリリースしました。
当初は「重要なセキュリティ修正」とだけ説明されていましたが、Appleが公開したセキュリティ情報により、これらのアップデートがCoruna(コルナ)脆弱性への対処であることが正式に確認されています。
Coruna脆弱性とは
Corunaは、GoogleとiVerifyが数日前に詳細を公開した高度なiOS攻撃チェーンです。
5つの完全なiOSエクスプロイトチェーンを組み合わせて攻撃を行い、合計23件の脆弱性を悪用します。iOS 13〜iOS 17.2.1といった古いバージョンが対象となっており、特に最新 OS に更新できない古いデバイスがリスクに晒されていました。
攻撃の複雑さと対象範囲の広さから、非常に深刻な脆弱性として扱われています。
Apple の対応:古いデバイス向けに緊急パッチ
今回のアップデートで修正されたのは、Coruna攻撃で悪用されていたKernelとWebKitの脆弱性です。
Kernel
Available for: iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation)
Impact: An app may be able to execute arbitrary code with kernel privileges. This fix associated with the Coruna exploit was shipped in iOS 17 on September 18, 2023. This update brings that fix to devices that cannot update to the latest iOS version.
Description: A use-after-free issue was addressed with improved memory management.
CVE-2023-41974: Félix Poulin-Bélanger
WebKit
Available for: iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. This fix associated with the Coruna exploit was shipped in iOS 17.3 on January 22, 2024. This update brings that fix to devices that cannot update to the latest iOS version.
Description: A type confusion issue was addressed with improved checks.
WebKit Bugzilla: 267134
CVE-2024-23222
WebKit
Available for: iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to memory corruption. This fix associated with the Coruna exploit was shipped in iOS 16.6 on July 24, 2023. This update brings that fix to devices that cannot update to the latest iOS version.
Description: A use-after-free issue was addressed with improved memory management.
WebKit Bugzilla: 255951
CVE-2023-43000: Apple
WebKit
Available for: iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to memory corruption. This fix associated with the Coruna exploit was shipped in iOS 17.2 on December 11th, 2023. This update brings that fix to devices that cannot update to the latest iOS version.
Description: The issue was addressed with improved memory handling.
WebKit Bugzilla: 260913
CVE-2023-43010: Apple
Appleはセキュリティ情報の中で、「最新iOSにアップデートできないデバイス向けに修正を提供した」と明記しており、古いデバイスを保護するための特別対応であることがわかります。
対象となるのは、以下の OS 系列を利用しているデバイスです。
- iOS 16系列(16.7.15)
- iOS 15系列(15.8.7)
- iPadOS 16系列(16.7.15)
- iPadOS 15系列(15.8.7)
なぜ今回のアップデートが重要なのか
Corunaは実際に悪用された可能性があるゼロデイ攻撃とみられており、古いOSを使い続けているユーザーは特に危険でした。今回のアップデートにより、WebKit 経由での任意コード実行や、Kernel権限の奪取、複数の脆弱性を連鎖させた高度な攻撃といったリスクが解消されるため、古いデバイスを使っているユーザーは、できるだけ早くアップデートすることが強く推奨されます。
[via 9to5Mac]
