Appleが本日公開したiOS 14.4とiPadOS 14.4で、3つの重大なセキュリティ脆弱性が修正されていたことがわかりました(MacRumors)。
Appleのサポートドキュメントによると、iOSまたはiPadOS 14のカーネルとWebKitに脆弱性が存在する模様。
カーネルの脆弱性によって、悪意のあるアプリケーションが権限を昇格できる可能性があり、Appleはこの問題が実際に悪用されている可能性があるという報告を認識しているそうです。
Available for: iPhone 6s and later, iPad Air 2 and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: A malicious application may be able to elevate privileges. Apple is aware of a report that this issue may have been actively exploited.
Description: A race condition was addressed with improved locking.
CVE-2021-1782: an anonymous researcher
加えて、リモートの攻撃者が任意のコードを実行することができるWebKitの問題が、積極的に悪用されている可能性があると説明しています。
Available for: iPhone 6s and later, iPad Air 2 and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: A remote attacker may be able to cause arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A logic issue was addressed with improved restrictions.
CVE-2021-1871: an anonymous researcher
CVE-2021-1870: an anonymous researcher
サポート文書によると、追加情報が"近日中に"入手可能になるとのことです。
iPhoneやiPadのユーザーはできるだけ速く最新版をインストールした方がよさそうです。
